SORIJOSE.DEV
[ Lab · Project 01 ]
[ Live · Beta ]
security.sorijose.dev

CARTDEFENSE

[ Escáner de seguridad × PrestaShop · WordPress ] Detecta vulnerabilidades en tu sitio web en menos de 30 segundos. Gratis, sin registro, sin instalar nada.

ESCANEAR AHORA
Resultados en 30s100% GratuitoSin registro
[ §01 — Why ]
El motivo detrás del proyecto.

Trabajo a diario con tiendas PrestaShop y sitios WordPress. La mayoría de los hackeos que veo se podrían haber evitado con 5 minutos de auditoría.

CartDefense automatiza esos 5 minutos. Pegas tu URL, el escáner detecta la plataforma, lanza 9 checks en paralelo y te devuelve un score con hallazgos clasificados y recomendaciones de reparación. Sin instalar plugins, sin tocar tu base de datos, sin pedir credenciales.

[ §02 — How ]

Tres pasos.
Cero fricción.

01

Pega la URL

Solo necesitas la URL pública de tu tienda. No instala nada, no pide credenciales, no toca tu base de datos.

Ej: https://mi-tienda.com
02

Análisis automático

El motor reconoce la plataforma (PrestaShop o WordPress) y lanza 9 checks en paralelo: versión, directorios críticos, cabeceras, malware, backups…

~30 segundos · 9 checks
03

Informe accionable

Score de riesgo de 0 a 100, cada hallazgo clasificado como crítico, advertencia o seguro, con recomendaciones concretas para arreglarlo.

Plan de acción incluido
[ §03 — What ]

12 vectores
de ataque.

Cada check está basado en vulnerabilidades reales explotadas hoy en tiendas y sitios. No es teoría — es lo que veo en producción.

PrestaShop06 checks

  • Versión PrestaShop

    CHANGELOG.txt + huellas HTML para detectar la versión exacta y CVEs conocidos.

  • Directorios críticos

    /admin, /install, /backoffice, /.git, /.env. Un /install accesible permite reinstalar la tienda.

  • Cabeceras HTTP

    HSTS, X-Frame-Options, X-Content-Type-Options. Sin ellas: clickjacking, MITM, MIME sniffing.

  • Módulos vulnerables

    Cruce con base de datos de CVEs. Los módulos de terceros son el vector #1 en PrestaShop.

  • Permisos archivos

    Detecta directorios 0777 y configuraciones permisivas que abren la puerta al atacante.

  • Malware (PHP Bridge)

    Bridge PHP que escanea el código en busca de eval(), base64_decode(), shells y backdoors.

WordPress06 checks

  • xmlrpc.php activo

    Vector de fuerza bruta más explotado: permite probar miles de claves en una sola petición.

  • Enumeración usuarios

    /wp-json/wp/v2/users expone nombres reales — combustible para ataques de diccionario dirigidos.

  • Backups wp-config

    wp-config.php.bak y similares accesibles. Contienen credenciales de DB y salts.

  • debug.log expuesto

    wp-content/debug.log con errores PHP filtra rutas internas, plugins y vectores.

  • Cabeceras HTTP

    HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy.

  • Versión & archivos

    readme.html, meta generator y archivos sensibles que confirman el CMS y su versión.

[ §04 — Stack ]

Cómo está construido

[ §05 — Try it now ]

¿LISTO PARA
ESCANEAR?

30 segundos. Gratis. Sin registro. Sin instalar nada.

ESCANEAR MI WEB
VER OTROS PROYECTOS
→ security.sorijose.dev