Seguridad de ventisqueros.com

[HIGH] Content-Security-Policy: Falta esta cabecera esencial para prevenir ataques de Cross-Site Scripting (XSS) e inyeccion de datos.

[HIGH] X-Frame-Options: No configurada, lo que permite ataques de clickjacking al no restringir si el sitio puede cargarse en un iframe.

[HIGH] Strict-Transport-Security: Falta la configuracion HSTS, permitiendo que las conexiones iniciales sean interceptadas o degradadas a HTTP.

[HIGH] Version de WordPress expuesta: Se detecto la version 6.9.4 publicamente, lo que facilita a atacantes la busqueda de CVEs especificos para este sistema.

[MEDIUM] Contenido Mixto: Existen 15 recursos cargandose mediante HTTP dentro de la pagina HTTPS, comprometiendo la integridad de la comunicacion.

[MEDIUM] X-Content-Type-Options: La falta de esta cabecera permite que el navegador realice sniffing de tipos MIME, abriendo vectores para ataques de ejecucion de codigo.

[MEDIUM] Referrer-Policy: No se controla la informacion de referencia enviada a terceros, lo que puede derivar en la fuga de datos sensibles.

[MEDIUM] Permissions-Policy: No se restringe el uso de APIs del navegador como camara o microfono mediante politicas del servidor.

[MEDIUM] Rutas administrativas accesibles: Los paneles /wp-login.php y /administrator/ estan expuestos, aumentando el riesgo de ataques de fuerza bruta.

[MEDIUM] Archivo README.txt: Este archivo es accesible publicamente y puede revelar detalles internos y versiones de la plataforma.

[LOW] Cabecera de servidor expuesta: El encabezado Server revela el uso de Apache, ayudando a los atacantes en el reconocimiento de la infraestructura.

[LOW] Meta generator: La etiqueta meta expone especificamente el uso de WordPress 6.9.4 de forma innecesaria.

[LOW] Rutas sensibles en robots.txt: Se hace referencia explicita a directorios admin, facilitando el mapeo de rutas criticas.