Seguridad de securitypyme.com

[HIGH] Content-Security-Policy: La ausencia de esta cabecera permite la ejecución de scripts no autorizados, facilitando ataques de Cross-Site Scripting (XSS).

[HIGH] X-Frame-Options: La falta de esta política hace que el sitio sea susceptible a ataques de clickjacking, donde un atacante puede cargar la web en un marco invisible para engañar al usuario.

[MEDIUM] X-Content-Type-Options: Al no estar presente, el navegador podría intentar interpretar el contenido de forma distinta a la declarada, permitiendo la ejecución de código malicioso mediante MIME-sniffing.

[MEDIUM] Referrer-Policy: No se controla la información de procedencia enviada a otros dominios, lo que podría exponer datos de navegación privados.

[MEDIUM] Permissions-Policy: El sitio no restringe el acceso a APIs sensibles del navegador como la cámara, el micrófono o la geolocalización.

[MEDIUM] Archivos informativos expuestos: Los archivos /readme.html y /README.txt son accesibles públicamente, lo que podría revelar detalles técnicos sobre la estructura interna.

[MEDIUM] Rutas administrativas accesibles: Se detectó acceso público a múltiples paneles de gestión como /wp-login.php, /administrator/ y /user/login, aumentando el riesgo de ataques de fuerza bruta.

[LOW] Server header expuesto: El encabezado Server revela el uso de tecnología Vercel, proporcionando información útil para un atacante en la fase de reconocimiento.

[LOW] Ausencia de archivos de indexación: La falta de robots.txt y sitemap.xml dificulta la gestión del rastreo por parte de motores de búsqueda y la exclusión de áreas privadas.