ecstaticcrafts.com

De un vistazoAt a glance

Los cinco problemas que estan frenando el rendimiento The five things killing performance

Lo que si funciona bien What's actually fast

No todo esta roto — estas partes estan bien y no necesitan atencion: Not everything is broken — these parts are fine and don't need attention:

Las soluciones, en orden The fix, in order

Si se hacen en este orden, el TTFB deberia bajar de ~3.8s a ~200–400 ms, y el tiempo de carga total a menos de 1.5s. Los pasos 1 y 2 por si solos eliminaran ~80% del problema. If you do these in order, TTFB should drop from ~3.8s to ~200–400 ms, and total load time to under 1.5s. Steps 1 and 2 alone will eliminate ~80% of the pain.

1. Instalar WP Rocket (o LiteSpeed Cache si el servidor usa LiteSpeed) Install WP Rocket (or LiteSpeed Cache if on LiteSpeed)

   Habilitar cache de pagina, cache del navegador y GZIP. Usar las opciones "Optimizar entrega de CSS" y "Cargar JS diferido". Es el cambio con mayor retorno de inversion. Enable page caching, browser caching, and GZIP. Use the "Optimize CSS delivery" and "Load JS deferred" options. This is the single highest-ROI change.

   ImpactoImpact: ~3.5s → ~200ms TTFB EsfuerzoEffort: 30 min
2. Poner Cloudflare por delante del dominio Put Cloudflare in front of the domain

   Cambiar los nameservers en el registrador. El plan gratuito es suficiente: HTTP/2, HTTP/3, cache en el borde, Brotli, optimizacion de imagenes (Polish) y POPs globales. Change the nameservers at the registrar. Free tier is enough: HTTP/2, HTTP/3, edge caching, Brotli, image optimization (Polish), and global POPs.

   ImpactoImpact: 30–40% aceleracion globalglobal speedup + HTTP/2 EsfuerzoEffort: 15 min
3. Auditar y eliminar plugins no utilizados Audit and remove unused plugins

   Confirmar si EventON, FormCraft 3, Indeed Membership Pro y YITH Wishlist realmente se usan. Desactivar, probar y luego eliminar. Cada eliminacion ahorra consultas a la base de datos y cargas de scripts. Confirm whether EventON, FormCraft 3, Indeed Membership Pro, and YITH Wishlist are actually being used. Deactivate, test, then delete. Each removal saves DB queries and script loads.

   ImpactoImpact: ~10–20% TTFB EsfuerzoEffort: 1 horahour
4. Instalar Perfmatters o Asset CleanUp Install Perfmatters or Asset CleanUp

   Deshabilitar los scripts de Revolution Slider y WooCommerce en las paginas donde no se necesitan (por ejemplo, JS de WooCommerce en la pagina de inicio). Deshabilitar WP embeds, emojis y heartbeat API. Disable Revolution Slider and WooCommerce scripts on pages where they're not needed (e.g., WooCommerce JS on the homepage). Disable WP embeds, emojis, and heartbeat API.

   ImpactoImpact: Scripts 57 → ~25–30 EsfuerzoEffort: 1 horahour
5. Reemplazar Revolution Slider Replace Revolution Slider

   Usar el slider integrado del tema Goya o una alternativa liviana. Revolution Slider carga ~200KB de JS incluso cuando el slider no es visible en la pagina. Use the Goya theme's built-in slider or a lightweight alternative. Revolution Slider loads ~200KB of JS even when the slider isn't visible on the page.

   ImpactoImpact: ~200KB JS eliminadoremoved EsfuerzoEffort: 2 horashours
6. Mejorar el hosting (si lo anterior no es suficiente) Upgrade hosting (if the above isn't enough)

   Si el TTFB sigue lento despues del cache, el servidor subyacente es demasiado debil para esta pila de plugins. Migrar a hosting WordPress gestionado (Kinsta, WP Engine, Cloudways, SiteGround GoGeek) — estan optimizados especificamente para WordPress + WooCommerce + WPML. If TTFB is still slow after caching, the underlying server is too weak for this plugin stack. Move to managed WordPress hosting (Kinsta, WP Engine, Cloudways, SiteGround GoGeek) — these are tuned specifically for WordPress + WooCommerce + WPML.

   ImpactoImpact: Velocidad base del servidor 2–5xBaseline server speed 2–5× EsfuerzoEffort: medio diahalf a day

Evaluacion de Seguridad Security Assessment

Reconocimiento externo unicamente — sin pruebas autenticadas, sin explotacion, sin fuerza bruta. Estos son problemas visibles para cualquier visitante o bot que escanee el sitio. External-only reconnaissance — no authenticated testing, no exploitation, no brute-force. These are issues visible to any visitor or bot scanning the site.

Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"
Header always set X-Frame-Options "SAMEORIGIN"
Header always set X-Content-Type-Options "nosniff"
Header always set Referrer-Policy "strict-origin-when-cross-origin"
Header always set Permissions-Policy "camera=(), microphone=(), geolocation=()"

Lo que esta bien asegurado What's properly secured

No todo esta mal — esto esta correctamente configurado: Not everything is bad — these are configured correctly:

Correcciones de seguridad, en orden Security fixes, in order

1. Deshabilitar TLS 1.0 y 1.1 Disable TLS 1.0 and 1.1

   Establecer SSLProtocol -all +TLSv1.2 +TLSv1.3 en la configuracion de Apache. Obligatorio para el cumplimiento de PCI DSS en cualquier tienda WooCommerce que procese pagos. Si se usa Cloudflare (de la solucion de rendimiento #2), es un solo interruptor. Set SSLProtocol -all +TLSv1.2 +TLSv1.3 in Apache config. Mandatory for PCI DSS compliance on any WooCommerce store handling payments. If using Cloudflare (from performance fix #2), this is a single toggle.

   ImpactoImpact: Cumplimiento PCI + seguridad de protocoloPCI compliance + protocol security EsfuerzoEffort: 5 min
2. Deshabilitar el listado de directorios Disable directory listing

   Agregar Options -Indexes al .htaccess raiz. Corrige S2, S5 (exposicion de AIOS) y bloquea la navegacion de archivos de plugins. Una correccion de una linea que cierra la fuga de informacion mas peligrosa. Add Options -Indexes to the root .htaccess. Fixes S2, S5 (AIOS exposure), and blocks plugin file browsing. One-line fix that closes the most dangerous information leak.

   ImpactoImpact: Cierra la enumeracion completa de archivos del sitioCloses full site file enumeration EsfuerzoEffort: 2 min
3. Agregar encabezados de seguridad HTTP Add HTTP security headers

   Agregar HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy y Permissions-Policy al .htaccess. El CSP puede agregarse despues (requiere pruebas cuidadosas con 57 scripts + dominios externos). Add HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, and Permissions-Policy to .htaccess. CSP can be added later (needs careful testing with 57 scripts + external domains).

   ImpactoImpact: Prevencion de clickjacking + MIME + XSSClickjacking + MIME + XSS prevention EsfuerzoEffort: 10 min
4. Eliminar el log y directorio merlin-wp Delete the merlin-wp log and directory

   Eliminar /wp-content/uploads/merlin-wp/ completamente. Contiene la fuga de ruta del servidor y nunca se necesita despues de la configuracion inicial del tema. Remove /wp-content/uploads/merlin-wp/ entirely. It contains the server path leak and is never needed after initial theme setup.

   ImpactoImpact: Elimina la divulgacion de ruta del servidorRemoves server path disclosure EsfuerzoEffort: 1 min
5. Eliminar informacion de versiones Strip version information

   Eliminar readme.html y license.txt de la raiz de WP. Quitar la etiqueta meta generator. Eliminar versiones en cadenas de consulta de JS/CSS. Esto dificulta los ataques CVE dirigidos (seguridad por oscuridad, pero igual tiene valor). Remove readme.html and license.txt from the WP root. Remove the generator meta tag. Strip query string versions from JS/CSS. This makes targeted CVE attacks harder (security through obscurity, but still valuable).

   ImpactoImpact: Reduce la superficie de ataques dirigidosReduces targeted attack surface EsfuerzoEffort: 15 min
6. Deshabilitar wp-cron.php y configurar cron del servidor Disable wp-cron.php and set up server cron

   Agregar define('DISABLE_WP_CRON', true); a wp-config.php y configurar una tarea cron del lado del servidor. Previene la amplificacion DDoS y mejora ligeramente el rendimiento de carga de paginas. Add define('DISABLE_WP_CRON', true); to wp-config.php and configure a server-side cron job. Prevents DDoS amplification and slightly improves page load performance.

   ImpactoImpact: Vector DDoS cerrado + mejora menor de rendimientoDDoS vector closed + minor perf gain EsfuerzoEffort: 10 min

Versiones de software identificadas Identified software versions

Todas las versiones detectadas externamente desde respuestas publicas. Mantenerlas actualizadas es la practica de seguridad mas importante. All versions detected externally from public responses. Keeping these up to date is the single most important security practice.

Progreso: lo que se resolvio el 2026-04-10 Progress: what was solved on 2026-04-10

Sesion de optimizacion en el panel de WordPress. Estado antes/despues de cada hallazgo: Optimization session in the WordPress admin panel. Before/after state of each finding:

Rendimiento — lo que se hizoPerformance — what was done

Seguridad — lo que se resolvioSecurity — what was solved

Progreso: lo que se resolvio el 2026-04-17 Progress: what was solved on 2026-04-17

Sesion de acceso directo al servidor. Se establecio SSH + WP-CLI + MCP para control completo del stack, seguido de una pasada de recon profundo y nueve mejoras rapidas (Q1-Q9) sin impacto al cliente. Direct server-access session. Established SSH + WP-CLI + MCP for full stack control, followed by a deep recon pass and nine quick wins (Q1-Q9) with no client-facing impact.

Acceso — nuevas capacidades operativasAccess — new operational capabilities

Seguridad — hallazgos nuevos y remediadosSecurity — new and remediated findings

Rendimiento — lo que se hizoPerformance — what was done

Hallazgos operativos nuevos (informacion)New operational findings (info)

Siguientes pasos (pendientes — requieren decision del cliente o entorno de staging)Next steps (pending — require client decision or staging environment)

Progreso: lo que se resolvio el 2026-04-18 Progress: what was solved on 2026-04-18

Pasada SSH-only enfocada exclusivamente en velocidad. Limpieza profunda de tablas huerfanas de plugins inactivos y optimizacion de autoload + DB. Se descubrio que OPcache no esta disponible en este hosting (el proveedor lo excluyo de los paquetes EA-PHP). SSH-only pass focused exclusively on speed. Deep cleanup of orphan tables from inactive plugins and autoload + DB optimization. Discovered OPcache is not available on this hosting (the provider excluded it from EA-PHP packages).

Limpieza profunda de base de datosDeep database cleanup

Autoload slim-down (9 opciones grandes + huerfano)Autoload slim-down (9 big options + orphan)

Otros cambiosOther changes

Lo que falta: el cuello de botella del servidor What's left: the server bottleneck

Solucion 1: Cloudflare CDN (gratis — requiere cambio de DNS)Solution 1: Cloudflare CDN (free — requires DNS change)

Solucion 2: Migrar hosting (si Cloudflare no es suficiente)Solution 2: Migrate hosting (if Cloudflare isn't enough)

Solucion 3: Reducir scripts con Asset CleanUp (WP admin)Solution 3: Reduce scripts with Asset CleanUp (WP admin)

Items de seguridad pendientes (requieren acceso al servidor)Pending security items (require server access)

Briefing: la conversacion con el proveedor Briefing: the provider conversation

Material de apoyo para tener una conversacion con Zuliatec. No es acusacion — son hechos verificables y ocho preguntas que cualquier proveedor competente responde en cinco minutos. Supporting material for a conversation with Zuliatec. Not an accusation — just verifiable facts and eight questions any competent provider answers in five minutes.

Lo que se pago vs. lo que se recibioWhat was paid for vs. what was delivered

El sitio estaba operando a menos del 30% de su potencial. Sin tocar el servidor — solo ajustando WordPress — en una sesion de trabajo: The site was operating at less than 30% of its potential. Without touching the server — just adjusting WordPress — in one work session:

Todos estos cambios son trabajo de WordPress, no de infraestructura. Un proveedor con monitoreo basico los habria identificado o recomendado. El sitio opero a un tercio de su capacidad durante anos. All these changes are WordPress work, not infrastructure. A provider with basic monitoring would have flagged or recommended them. The site ran at a third of its capacity for years.

Los hechos que importanThe facts that matter

Ocho preguntas para ZuliatecEight questions for Zuliatec

Preguntas que cualquier proveedor competente responde en cinco minutos. Las respuestas — o los silencios — son la informacion. Questions any competent provider can answer in five minutes. The answers — or the silences — are the information.

1. Cuantos sitios comparten servidor con nosotros?How many sites share the server with us?

   Una respuesta honesta es un numero. "No se" o "muchos" es una mala senal.An honest answer is a number. "I don't know" or "many" is a bad sign.
2. Cual es su cadencia de parches para Apache, OpenSSH, PHP y cPanel?What's your patching cadence for Apache, OpenSSH, PHP, and cPanel?

   Un proveedor serio dice "semanalmente" o "automatico cada N dias". "Cuando hay problemas" significa que no hay. Hay 32 CVEs abiertos en el stack subyacente — no son hipoteticos.A serious provider says "weekly" or "automatic every N days". "When there are problems" means there isn't one. There are 32 open CVEs in the underlying stack — not hypothetical.
3. Pueden habilitar mod_headers en Apache?Can you enable mod_headers in Apache?

   Un comando. Treinta segundos. Si la respuesta es "no podemos" o "es complicado", el servidor no se administra con atencion al detalle.One command. Thirty seconds. If the answer is "we can't" or "it's complicated", the server isn't managed with attention to detail.
4. Por que sigue activo TLS 1.1?Why is TLS 1.1 still active?

   PCI DSS exige TLS 1.2 minimo desde 2018 para cualquier sitio que procese pagos. Es una tienda WooCommerce. La pregunta tiene peso regulatorio.PCI DSS has required TLS 1.2 minimum since 2018 for any site processing payments. It's a WooCommerce store. The question has regulatory weight.
5. Tienen SLA escrito con garantia de uptime?Do you have a written SLA with uptime guarantee?

   Sin SLA escrito, no hay compromiso. Y tampoco hay recurso cuando las cosas fallan.No written SLA means no commitment. And no recourse when things break.
6. Cual es el plan de recuperacion de desastres?What's the disaster recovery plan?

   La respuesta concreta suena asi: "backup cada X horas, restauracion en Y minutos, probado mensualmente". Cualquier cosa mas vaga significa que no hay plan.A concrete answer sounds like: "backup every X hours, restoration in Y minutes, tested monthly". Anything vaguer means no plan.
7. Pueden migrarnos a un plan con mas recursos?Can you move us to a plan with more resources?

   Pregunta directa que no rompe la relacion. Si ofrecen un tier superior con precios claros, entienden el problema. Si no tienen opciones superiores, saben el tamano real del negocio.A direct question that doesn't break the relationship. If they offer a higher tier with clear pricing, they understand the problem. If they have no higher options, you know the actual size of the business.
8. Podemos separar el DNS del hosting?Can we separate DNS from the hosting?

   Mover el DNS a Cloudflare (gratis) elimina el punto unico de fallo sin cambiar el hosting. Un proveedor tranquilo lo permite sin friccion. Resistencia aqui es una bandera.Moving DNS to Cloudflare (free) removes the single point of failure without changing hosting. A relaxed provider allows it without friction. Resistance here is a flag.

Marco de decisionDecision framework

Accion sugeridaSuggested action

Fase 3: Pentest de Infraestructura Phase 3: Infrastructure Pentest

Escaneo externo de infraestructura con herramientas especializadas: nmap, subfinder, nuclei, wpscan, wafw00f, sslscan, testssl.sh. Sin explotacion, sin ataques de credenciales. Solo reconocimiento a profundidad. Velocidad limitada a 2-5 req/s para no afectar produccion. External infrastructure scanning with specialized tools: nmap, subfinder, nuclei, wpscan, wafw00f, sslscan, testssl.sh. No exploitation, no credential attacks. Deep reconnaissance only. Throttled at 2-5 req/s to avoid impacting production.

Revision a nivel de codigo — App de registro de arte Code-level review — Art registry app

Con los source maps publicos (S21) extrajimos los 685 archivos fuente originales del bundle. 108 son codigo especifico de Ecstatic Crafts (el resto son node_modules). Revision manual linea-por-linea de las rutas sensibles (login, cambio de clave, transferencia, registro de arte). Aqui los hallazgos concretos — con referencias a archivo y numero de linea. Cada uno es explotable ahora (contra la logica del cliente) o lo sera cuando el backend Django vuelva a funcionar. Por claridad los agrupamos en 5 categorias: A) autenticacion/autorizacion, B) oraculos de enumeracion, C) confianza indebida en el cliente, D) facilitadores de phishing/spam, E) defaults criptograficos/diseño. With source maps public (S21) we extracted the 685 original source files from the bundle. 108 are Ecstatic Crafts-specific code (rest is node_modules). Manual line-by-line review of sensitive paths (login, change password, transfer, art registration). Below are the concrete findings — with file and line references. Each one is exploitable now (against client logic) or will be when the Django backend is restored. For clarity grouped into 5 categories: A) authentication/authorization, B) enumeration oracles, C) server-trust-client, D) phishing/spam enablers, E) cryptographic/design defaults.

A. Autenticacion y Autorizacion A. Authentication & Authorization

B. Oraculos de Enumeracion B. Enumeration Oracles

C. Confianza Indebida en el Cliente (configuracion para IDOR) C. Server-trust-client (IDOR setup)

D. Facilitadores de Phishing y Spam D. Phishing & Mail-Relay Enablers

E. Defaults Criptograficos / Diseño E. Cryptographic / Design Defaults

wpscan: WordPress-especifico wpscan: WordPress-specific

WordPress 6.9.4 (ultimo), tema Goya 1.0.9.6 (ultimo). Enumeracion de plugins bloqueada por directory listing deshabilitado (bien — resultado de Fase 2). Un usuario enumerado: web2021 (via patron de autor). Sin backups de configuracion encontrados. WordPress 6.9.4 (latest), Goya theme 1.0.9.6 (latest). Plugin enumeration blocked by disabled directory listing (good — result of Phase 2). One user enumerated: web2021 (via author pattern). No configuration backups found.

TLS: resuelto completamente TLS: fully resolved

La prueba de TLS en Fase 1 mostro TLS 1.1 aun habilitado (parcial). Fase 3 confirma: tanto TLS 1.0 como TLS 1.1 estan ahora bloqueados. Solo TLSv1.2 y TLSv1.3 aceptados. Todos los cipher suites grado A. Sin Heartbleed (verificado por sslscan). El hallazgo S1 esta ahora completamente resuelto. The TLS test in Phase 1 showed TLS 1.1 still enabled (partial). Phase 3 confirms: both TLS 1.0 and TLS 1.1 are now blocked. Only TLSv1.2 and TLSv1.3 accepted. All cipher suites grade A. No Heartbleed (verified by sslscan). Finding S1 is now fully resolved.

Acciones por prioridad Actions by priority

1. Apagar Django en puerto 8000 Shut down Django on port 8000

   Resuelve S11 + S19 de un solo golpe. Si la API no se usa, apagar gunicorn y bloquear el puerto. Solves S11 + S19 in one move. If the API isn't in use, stop gunicorn and block the port.

   Impacto: criticoImpact: criticalEsfuerzo: 5 minEffort: 5 min
2. Cerrar MySQL al exterior Close MySQL to the outside

   bind-address = 127.0.0.1 en my.cnf. Reiniciar MySQL. bind-address = 127.0.0.1 in my.cnf. Restart MySQL.

   Impacto: altoImpact: highEsfuerzo: 5 minEffort: 5 min
3. Firewall: cerrar puertos innecesarios Firewall: close unnecessary ports

   Bloquear 111 (rpcbind), 8000 (Django). Evaluar si 110/143 (POP3/IMAP sin cifrar) son necesarios — 993/995 son las versiones cifradas. Block 111 (rpcbind), 8000 (Django). Evaluate whether 110/143 (unencrypted POP3/IMAP) are needed — 993/995 are the encrypted versions.

   Impacto: medioImpact: mediumEsfuerzo: 15 minEffort: 15 min
4. Eliminar app muerta y subdominio api Remove dead app and api subdomain

   Eliminar el vhost de app. y api. si la app React/Django no se usa. Reducir superficie de ataque. Remove the app. and api. vhosts if the React/Django app isn't in use. Reduce attack surface.

   Impacto: medioImpact: mediumEsfuerzo: 10 minEffort: 10 min
5. Activar Cloudflare Activate Cloudflare

   Resuelve WAF, rate limiting, DDoS protection, encabezados de seguridad, HTTP/2, y mejora adicional de rendimiento. Un solo cambio con multiples beneficios. Solves WAF, rate limiting, DDoS protection, security headers, HTTP/2, and additional performance improvement. One change with multiple benefits.

   Impacto: altoImpact: highEsfuerzo: 30 minEffort: 30 min

Herramientas utilizadas Tools used

Metodologia Methodology

Fase 1 (2026-04-09): Todas las mediciones se tomaron desde Moon (Pop!_OS, region Panama). Rendimiento: curl para temporalizacion y encabezados, parseo raw del HTML para conteo de activos y deteccion de plugins, tres ejecuciones consecutivas para validar la consistencia del TTFB. Seguridad: Reconocimiento externo unicamente — analisis de encabezados HTTP, enumeracion de directorios, sondeo de archivos, pruebas de protocolo TLS (OpenSSL), descubrimiento de rutas de la REST API, enumeracion de archivos de autor, fingerprinting de versiones. Sin pruebas autenticadas, sin explotacion, sin ataques de credenciales, sin fuzzing.

Fase 2 (2026-04-10): Sesion de optimizacion con acceso administrativo a WordPress. Se configuro WP Rocket (cache, JS diferido, LazyLoad, heartbeat, limpieza de base de datos, precarga), se eliminaron ~36 plugins (~24 inactivos + 12 activos innecesarios), se aplicaron reglas .htaccess via AIOS (Options -Indexes, bloqueo de install.php, rewrite de author enumeration), se eliminaron archivos por defecto de WP, se deshabilito la edicion de PHP, y se activo la proteccion contra hotlinking. Se instalo Asset CleanUp (limpieza de HTML: emoji scripts, generator meta, oEmbed, RSD, wlwmanifest, REST API links; XML-RPC deshabilitado). Mediciones post-optimizacion confirmadas con multiples ejecuciones consecutivas de curl. TTFB final: ~1.2s (mejora del 69%).

Fase 3 (2026-04-11/12): Pentest de infraestructura desde Moon. Herramientas: nmap (top 1000, deteccion de servicios, enumeracion de cipher suites), subfinder (subdominios), nuclei (vulnerabilidades conocidas), wpscan (WordPress-especifico), wafw00f (deteccion de WAF), sslscan + testssl.sh (auditoria TLS). Velocidad limitada a 2-5 req/s. Sin explotacion, sin ataques de credenciales. Se descubrio un segundo stack de aplicaciones (Django/React) en los puertos 8000 y subdominio app — no formaba parte del alcance original pero representaba el mayor riesgo encontrado. Phase 1 (2026-04-09): All measurements taken from Moon (Pop!_OS, Panama region). Performance: curl for timing and headers, raw HTML parsing for asset counts and plugin detection, three consecutive runs to validate TTFB consistency. Security: External-only reconnaissance — HTTP header analysis, directory enumeration, file probing, TLS protocol testing (OpenSSL), REST API route discovery, author archive enumeration, version fingerprinting. No authenticated testing, no exploitation, no credential attacks, no fuzzing.

Phase 2 (2026-04-10): Optimization session with WordPress admin access. Configured WP Rocket (cache, deferred JS, LazyLoad, heartbeat, database cleanup, preload), removed ~36 plugins (~24 inactive + 12 unnecessary active), applied .htaccess rules via AIOS (Options -Indexes, install.php block, author enumeration rewrite), deleted WP default files, disabled PHP editing, and enabled hotlink protection. Installed Asset CleanUp (HTML cleanup: emoji scripts, generator meta, oEmbed, RSD, wlwmanifest, REST API links; XML-RPC disabled). Post-optimization measurements confirmed with multiple consecutive curl runs. Final TTFB: ~1.2s (69% improvement).

Phase 3 (2026-04-11/12): Infrastructure pentest from Moon. Tools: nmap (top 1000, service detection, cipher suite enumeration), subfinder (subdomains), nuclei (known vulnerabilities), wpscan (WordPress-specific), wafw00f (WAF detection), sslscan + testssl.sh (TLS audit). Throttled at 2-5 req/s. No exploitation, no credential attacks. Discovered a second application stack (Django/React) on port 8000 and app subdomain — not part of the original scope but represented the highest risk found.