Seguridad de muunderworlds6.com

[HIGH] Content-Security-Policy: Falta esta cabecera esencial para prevenir ataques de inyección de código y Cross-Site Scripting (XSS).

[HIGH] X-Frame-Options: La ausencia de esta directiva permite que el sitio sea cargado en marcos externos, facilitando ataques de clickjacking.

[HIGH] Strict-Transport-Security: No se ha configurado HSTS, lo que impide que el navegador fuerce conexiones seguras y deja la comunicación expuesta a ataques de degradación.

[HIGH] Redirección HTTPS ausente: El servidor permite el acceso mediante HTTP sin redirigir al protocolo seguro, exponiendo el tráfico de los usuarios.

[HIGH] Cookie PHPSESSID sin flag HttpOnly: Al no estar presente, la cookie de sesión es accesible mediante JavaScript, permitiendo el robo de identidad en caso de un ataque XSS.

[MEDIUM] X-Content-Type-Options: La falta de esta cabecera permite el sniffing de tipos MIME, lo que puede llevar a la ejecución de archivos maliciosos.

[MEDIUM] Cookie PHPSESSID sin flag SameSite: La ausencia de este atributo hace que el sitio sea susceptible a ataques de falsificación de petición en sitios cruzados (CSRF).

[MEDIUM] Contenido Mixto: Existe un recurso de hoja de estilo cargado desde YouTube mediante HTTP, lo que debilita la integridad de la conexión cifrada.

[MEDIUM] Referrer-Policy: No existe una política configurada para controlar qué información de origen se envía a otros dominios.

[MEDIUM] Permissions-Policy: No se restringen las funcionalidades del navegador como geolocalización o periféricos, ampliando la superficie de ataque.

[LOW] X-Powered-By expuesto: El servidor revela el uso de PHP/5.6.40, una versión antigua que permite a atacantes buscar vulnerabilidades específicas del motor.

[LOW] Ausencia de robots.txt y sitemap.xml: El servidor responde con errores 404 para estos archivos, dificultando la gestión del rastreo por motores de búsqueda.