Seguridad de esfuerzodeportivo.com

[HIGH] Redirección HTTP a HTTPS: El sitio permite conexiones no cifradas sin redirigir automáticamente al protocolo seguro, facilitando la interceptación de datos.

[HIGH] Content-Security-Policy: La ausencia de esta cabecera permite la ejecución de scripts maliciosos y ataques de inyección de contenido como XSS.

[HIGH] X-Frame-Options: Al no estar configurada, el sitio es susceptible a ataques de clickjacking donde un atacante puede cargar la web en un marco invisible.

[HIGH] Strict-Transport-Security: La falta de HSTS impide que el navegador fuerce siempre conexiones seguras, dejando la puerta abierta a ataques de degradación de SSL.

[MEDIUM] X-Content-Type-Options: La falta de esta cabecera permite el MIME-type sniffing, lo que puede llevar a que archivos de texto sean interpretados como ejecutables.

[MEDIUM] Rutas Administrativas Expuestas: Los paneles de acceso en /wp-login.php, /administrator/ y /user/login están accesibles públicamente, aumentando el riesgo de ataques de fuerza bruta.

[MEDIUM] Archivos Informativos Expuestos: Los archivos /readme.html y /README.txt son accesibles, lo que puede revelar detalles técnicos internos del sistema.

[MEDIUM] Referrer-Policy: No existe control sobre la información de navegación que se envía a otros sitios web al seguir enlaces salientes.

[MEDIUM] Permissions-Policy: El sitio no restringe el acceso a APIs del navegador como la cámara o el micrófono, lo que supone un riesgo potencial de privacidad.

[LOW] Server header expuesto: El servidor revela que utiliza tecnología Apache, facilitando a posibles atacantes la búsqueda de vulnerabilidades específicas para esa versión.

[LOW] Sitemap.xml ausente: La falta de este archivo dificulta la indexación correcta y puede ocultar la estructura de archivos del sitio ante auditorías de mantenimiento.