Seguridad de el-encanto-san.vercel.app

[HIGH] Content-Security-Policy: La ausencia de esta cabecera permite ataques de Cross-Site Scripting (XSS) e inyección de datos al no restringir las fuentes de contenido permitidas.

[HIGH] X-Frame-Options: Al no estar presente, el sitio es susceptible a ataques de clickjacking, permitiendo que terceros carguen la página en marcos invisibles para engañar al usuario.

[MEDIUM] X-Content-Type-Options: La falta de esta directiva permite el MIME-type sniffing, lo que puede llevar al navegador a interpretar archivos de texto como scripts ejecutables.

[MEDIUM] Referrer-Policy: No se controla la información de referencia enviada en las peticiones salientes, lo que podría exponer rutas internas o datos sensibles a dominios externos.

[MEDIUM] Permissions-Policy: La configuración no restringe el acceso a APIs del navegador como la cámara, el micrófono o la geolocalización, aumentando la superficie de riesgo en caso de compromiso.

[MEDIUM] Archivos de información expuestos: Los archivos /readme.html y /README.txt son accesibles públicamente, lo que facilita el reconocimiento de la infraestructura por parte de atacantes.

[MEDIUM] Rutas administrativas expuestas: Se detectó acceso a rutas críticas como /wp-login.php, /administrator/ y /user/login, lo que incentiva intentos de acceso no autorizado por fuerza bruta.

[LOW] Server header expuesto: El encabezado revela explícitamente el uso de Vercel como tecnología de servidor, facilitando la búsqueda de vulnerabilidades específicas para dicha plataforma.

[LOW] Ausencia de Robots.txt y Sitemap: La falta de estos archivos impide una gestión adecuada del rastreo y puede exponer rutas que no deberían ser indexadas por motores de búsqueda.