Seguridad de seidor.es

[HIGH] Content-Security-Policy: Falta — La ausencia de esta cabecera permite la ejecución de scripts maliciosos (XSS) y ataques de inyección de contenido.

[HIGH] X-Frame-Options: Falta — El sitio es vulnerable a clickjacking, permitiendo que atacantes embeban la web en marcos externos para engañar al usuario.

[HIGH] Strict-Transport-Security: Falta — No se obliga al navegador a usar conexiones HTTPS, permitiendo posibles ataques de degradación de SSL.

[HIGH] HSTS no configurado: El servidor redirige a HTTPS pero no establece la directiva de persistencia de seguridad en el navegador del cliente.

[MEDIUM] X-Content-Type-Options: Falta — Permite que el navegador intente adivinar el tipo de contenido (MIME-sniffing), lo que puede derivar en la ejecución de archivos maliciosos.

[MEDIUM] Referrer-Policy: Falta — No se controla qué información de procedencia se envía a otros sitios, lo que puede filtrar URLs privadas o sensibles.

[MEDIUM] Permissions-Policy: Falta — No se restringen las capacidades del navegador como el acceso a la cámara, micrófono o geolocalización desde el sitio.

[MEDIUM] Cookie __cf_bm: Falta SameSite — Esta cookie de Cloudflare sin el atributo SameSite es susceptible a ataques de falsificación de petición en sitios cruzados (CSRF).

[LOW] Server header expuesto: El valor Server: cloudflare revela detalles de la infraestructura que facilitan el reconocimiento por parte de atacantes.

[LOW] X-Powered-By expuesto: El valor X-Powered-By: Next.js revela el framework utilizado, permitiendo búsquedas dirigidas de exploits específicos.

[LOW] robots.txt: No encontrado — La ausencia de este archivo impide dar instrucciones claras a los rastreadores y puede exponer rutas que no deberían ser indexadas.

[LOW] sitemap.xml: No encontrado — Dificulta la auditoría de contenidos y la correcta indexación de la estructura del sitio por parte de motores de búsqueda.