Seguridad de analytics.elespacio.net

[HIGH] Content-Security-Policy: Falta esta cabecera esencial que previene ataques de XSS e inyección de contenido malicioso.

[HIGH] X-Frame-Options: La ausencia de esta cabecera permite que el sitio sea cargado en iframes, facilitando ataques de clickjacking.

[HIGH] Strict-Transport-Security: No está configurado, por lo que el navegador no fuerza conexiones HTTPS automáticamente mediante HSTS.

[MEDIUM] X-Content-Type-Options: Al no estar presente, el navegador podría intentar interpretar archivos como un tipo MIME diferente, permitiendo la ejecución de scripts.

[MEDIUM] Referrer-Policy: No se controla la información de navegación que se envía a otros sitios al hacer clic en enlaces salientes.

[MEDIUM] Permissions-Policy: No se restringe el acceso de la web a APIs sensibles del navegador como la cámara o el micrófono.

[MEDIUM] Archivos informativos expuestos: Los archivos /readme.html y /README.txt son accesibles y pueden revelar datos técnicos sobre la infraestructura.

[MEDIUM] Rutas de administración expuestas: Se detectaron rutas de login activas como /wp-login.php, /administrator/ y /user/login que son objetivos de fuerza bruta.

[MEDIUM] Puerto 22 (SSH) abierto: El servicio de acceso remoto está expuesto a internet, lo cual incrementa el riesgo de intentos de acceso no autorizados.

[LOW] Server header expuesto: La cabecera revela el uso de nginx/1.31.0, facilitando a un atacante la búsqueda de exploits específicos para esa versión.

[WARN] Falta de sitemap.xml: El sitio no cuenta con un mapa de estructura web, lo que dificulta la auditoría completa de sus endpoints.