Seguridad de daviviendaintl.com

[HIGH] Content-Security-Policy: Falta — La ausencia de esta cabecera permite la ejecucion de scripts no autorizados, aumentando el riesgo de ataques XSS y de inyeccion de contenido malicioso.

[HIGH] X-Frame-Options: Falta — Sin esta directiva, el sitio es vulnerable a ataques de clickjacking, donde un atacante puede cargar la web en un marco invisible para engañar al usuario.

[MEDIUM] Puerto 8080 (HTTP-Alt): ABIERTO — La presencia de un servidor web alternativo o proxy en este puerto aumenta la superficie de ataque y podria exponer servicios internos no deseados.

[MEDIUM] Referrer-Policy: Falta — No se controla que informacion de referencia se envia a otros dominios, lo que podria comprometer la privacidad de la navegacion del usuario.

[MEDIUM] Permissions-Policy: Falta — No se restringen las APIs del navegador, permitiendo potencialmente que scripts accedan a funciones como la camara o el microfono si existiera otra vulnerabilidad.

[MEDIUM] HSTS max-age: Configuracion corta — El valor actual es de 90 dias, mientras que el estandar de la industria recomienda un minimo de 180 dias para garantizar una conexion segura persistente.

[MEDIUM] robots.txt: Bloqueo total — El archivo prohibe el rastreo de todo el sitio, lo cual es inusual y podria ocultar problemas de acceso o configuraciones erroneas de indexacion.

[LOW] Server header expuesto: Server: cloudflare — El servidor revela la tecnologia de infraestructura utilizada, lo que ayuda a posibles atacantes en la fase de reconocimiento.

[LOW] sitemap.xml: No encontrado — La falta de este archivo dificulta la auditoria completa de la estructura del sitio y afecta la transparencia del mapa web.