Seguridad de catalejo.rf.gd

[HIGH] Content-Security-Policy: Falta esta cabecera esencial para prevenir ataques de Cross-Site Scripting (XSS) e inyecciones de contenido.

[HIGH] X-Frame-Options: Su ausencia permite ataques de clickjacking, donde un atacante puede inducir al usuario a realizar acciones no deseadas.

[HIGH] Strict-Transport-Security: No se fuerza el protocolo HSTS, permitiendo que el navegador establezca conexiones no seguras.

[HIGH] Redirección HTTP a HTTPS: El sitio permite el acceso por el puerto 80 sin redirigir al usuario automáticamente a la versión cifrada.

[MEDIUM] X-Content-Type-Options: La falta de esta cabecera permite el MIME-type sniffing, lo que puede ser explotado para ejecutar scripts maliciosos.

[MEDIUM] Referrer-Policy: No hay control sobre la información que el navegador envía al navegar hacia otros enlaces externos.

[MEDIUM] Permissions-Policy: No se restringen las APIs del navegador, dejando expuestos componentes como la cámara o el micrófono.

[MEDIUM] Archivos Informativos Expuestos: Se detectó acceso público a archivos /readme.html y /README.txt que pueden revelar detalles del sistema.

[MEDIUM] Paneles de Administración Expuestos: Las rutas /wp-login.php, /administrator/ y /user/login son accesibles, facilitando intentos de fuerza bruta.

[LOW] Servidor Expuesto: La cabecera Server revela el uso de openresty, proporcionando información técnica útil para un posible atacante.

[LOW] SSL con Caducidad Próxima: El certificado SSL actual expira en 21 días, lo que representa un riesgo para la disponibilidad segura del sitio.

[LOW] Ausencia de Robots.txt y Sitemap: La falta de estos archivos impide una correcta gestión del rastreo y visibilidad en buscadores.