Seguridad de elpalaciodehierro.com

[HIGH] Content-Security-Policy: Falta esta cabecera esencial para prevenir ataques de Cross-Site Scripting (XSS) e inyección de datos.

[HIGH] Cookies sin atributo HttpOnly: Múltiples cookies (dwac, cqcid, sid, entre otras) carecen de esta protección, permitiendo que sean accesibles mediante scripts y aumentando el riesgo de robo de sesión.

[MEDIUM] X-Content-Type-Options: La ausencia de esta cabecera permite que el navegador intente adivinar el tipo de contenido, lo que puede ser explotado mediante MIME-sniffing.

[MEDIUM] Referrer-Policy: No existe una política definida, lo que podría filtrar información sensible de la URL en las peticiones hacia sitios de terceros.

[MEDIUM] Permissions-Policy: Falta esta cabecera para restringir el acceso del navegador a funciones como la cámara, el micrófono o la geolocalización.

[MEDIUM] Cookie __cf_bm sin atributo SameSite: La falta de esta propiedad hace que la cookie sea vulnerable a ataques de falsificación de petición en sitios cruzados (CSRF).

[MEDIUM] Contenido Mixto: Se detectó un recurso cargado mediante el protocolo inseguro HTTP (mupa.krorum.com), comprometiendo la integridad de la página HTTPS.

[MEDIUM] Puerto 8080 abierto: La exposición de este puerto alternativo aumenta la superficie de ataque al revelar un servidor web o proxy adicional.

[LOW] Cabecera Server expuesta: Se revela el uso de tecnología Cloudflare, lo cual facilita la fase de reconocimiento para un atacante.

[LOW] Archivos de rastreo faltantes: No se encontraron los archivos robots.txt ni sitemap.xml, necesarios para una correcta administración del sitio.