Seguridad de altheaespaisalut.com

[HIGH] Falta de Content-Security-Policy: La ausencia de esta cabecera facilita ataques de Cross-Site Scripting (XSS) e inyección de contenido malicioso.

[HIGH] Falta de X-Frame-Options: El sitio es vulnerable a ataques de clickjacking al permitir que el contenido sea embebido en marcos externos sin control.

[HIGH] Falta de Strict-Transport-Security: No se comunica al navegador que debe usar exclusivamente conexiones HTTPS, permitiendo posibles ataques de degradación de protocolo.

[HIGH] Fallo en redirección HTTP a HTTPS: La web permite el acceso mediante HTTP sin cifrar, lo que expone los datos transmitidos a ser interceptados.

[HIGH] Versión de WordPress expuesta (6.7.1): La visualización pública de la versión exacta permite a potenciales atacantes buscar vulnerabilidades específicas y conocidas para este software.

[MEDIUM] Falta de X-Content-Type-Options: Al no estar presente, el navegador podría intentar interpretar el contenido de forma distinta a la declarada, facilitando el sniffing de tipos MIME.

[MEDIUM] Falta de Referrer-Policy: No se controla qué información de procedencia se envía a terceros, lo que podría filtrar rutas internas del sitio.

[MEDIUM] Falta de Permissions-Policy: El sitio no restringe el uso de APIs sensibles del navegador como la cámara o el micrófono por parte de scripts.

[MEDIUM] Contenido Mixto detectado: Se cargan recursos externos (gmpg.org y Google Fonts) mediante protocolos HTTP no seguros dentro de la página cifrada.

[LOW] Cabecera de servidor expuesta: El sistema revela el uso de Apache, facilitando la fase de reconocimiento de un atacante sobre la infraestructura.

[LOW] Meta generator expuesto: Se confirma públicamente que el sitio utiliza WordPress 6.7.1, aumentando la superficie de exposición.

[LOW] Ausencia de archivos robots.txt y sitemap.xml: La falta de estos archivos dificulta la auditoría de indexación y puede ocultar problemas de visibilidad de archivos sensibles.