Seguridad de xchive.com

[HIGH] Content-Security-Policy: Falta esta cabecera esencial para prevenir ataques de inyeccion de contenido y Cross-Site Scripting (XSS).

[HIGH] X-Frame-Options: La ausencia de esta directiva permite que el sitio sea cargado en iframes, facilitando ataques de clickjacking.

[HIGH] Strict-Transport-Security: No se ha configurado HSTS, lo que impide que el navegador fuerce conexiones seguras HTTPS permanentemente.

[HIGH] WordPress version: Se detecto la version 6.9.4 expuesta publicamente, lo cual permite a atacantes identificar vulnerabilidades conocidas (CVEs).

[MEDIUM] X-Content-Type-Options: La falta de esta cabecera permite el sniffing de tipos MIME, lo que puede derivar en la ejecucion de archivos maliciosos.

[MEDIUM] Referrer-Policy: No existe una politica definida para controlar la informacion de referencia que se envia a otros dominios.

[MEDIUM] Permissions-Policy: No se restringen las APIs del navegador, dejando expuestas funcionalidades como la camara o el microfono.

[MEDIUM] Archivo /readme.html: Este archivo de instalacion es accesible y revela detalles tecnicos innecesarios sobre el sistema.

[MEDIUM] Ruta /wp-login.php: El panel de acceso administrativo es publico, lo que aumenta la superficie de ataque para intentos de fuerza bruta.

[LOW] Server header expuesto: La cabecera revela el uso de Apache/2, facilitando el reconocimiento de la infraestructura por parte de terceros.

[LOW] SSL/TLS Expiration: El certificado de seguridad actual expirara en solo 21 dias, lo que podria comprometer la disponibilidad del sitio pronto.

[LOW] Meta generator: El codigo fuente expone directamente la etiqueta de la version de WordPress 6.9.4.

[LOW] sitemap.xml: No se encontro el archivo de mapa del sitio, lo que dificulta la auditoria de rutas y la indexacion correcta.