Seguridad de selecta.com.py

[HIGH] Content-Security-Policy: La ausencia de esta cabecera permite la ejecución de scripts no autorizados, facilitando ataques de Cross-Site Scripting (XSS) e inyección de contenido malicioso.

[HIGH] X-Frame-Options: Al no estar presente, el sitio puede ser embebido en marcos de otras webs, lo que expone a los usuarios a ataques de clickjacking.

[MEDIUM] X-Content-Type-Options: La falta de la directiva nosniff permite que el navegador intente interpretar archivos con tipos MIME incorrectos, aumentando el riesgo de ejecución de malware.

[MEDIUM] Referrer-Policy: No se ha definido una política de referencia, lo que puede provocar la filtración de información sensible de las URLs en las peticiones enviadas a terceros.

[MEDIUM] Permissions-Policy: La falta de esta configuración permite que el sitio tenga acceso potencial a APIs sensibles del navegador como la cámara, micrófono o geolocalización sin restricciones explícitas.

[MEDIUM] Archivos informativos expuestos: Se detectó acceso público a /readme.html y /README.txt, los cuales pueden contener información técnica sobre la infraestructura o versiones de software.

[MEDIUM] Rutas administrativas accesibles: Las rutas /wp-login.php, /administrator/ y /user/login son visibles, lo que facilita ataques de fuerza bruta contra paneles de gestión.

[LOW] Server header expuesto: La cabecera revela que el servidor utiliza nginx/1.23.3, proporcionando datos específicos que un atacante puede usar para buscar exploits conocidos.

[LOW] X-Powered-By expuesto: El servidor indica el uso del framework Express, revelando la pila tecnológica y reduciendo el esfuerzo necesario para una fase de reconocimiento.

[LOW] Falta de sitemap.xml: La ausencia de este archivo dificulta la auditoría de rutas indexadas y el rastreo estructurado del sitio.