Seguridad de thecommerce.es

[HIGH] HTTP a HTTPS redireccion: El servidor no fuerza el uso de conexiones cifradas, permitiendo que la comunicación viaje en texto plano.

[HIGH] X-Frame-Options: La ausencia de esta cabecera permite ataques de clickjacking al no restringir si el sitio puede ser embebido en marcos externos.

[HIGH] Cookie xToken (HttpOnly): La cookie carece del flag HttpOnly, lo que permite que sea accesible mediante scripts del lado del cliente, aumentando el riesgo de robo por XSS.

[HIGH] Cookie cookiesEnabled (HttpOnly/Secure): Esta cookie no tiene atributos de seguridad, permitiendo su acceso vía scripts y su envío a través de conexiones no cifradas.

[MEDIUM] HSTS max-age: La política de seguridad estricta de transporte tiene un tiempo de vida de 0 días, lo que anula su efectividad frente a ataques de degradación de protocolo.

[MEDIUM] Permissions-Policy: No se han definido restricciones sobre qué funciones del navegador (cámara, micrófono, geolocalización) puede ejecutar el sitio.

[MEDIUM] Cookie PHPSESSID (SameSite): La falta del atributo SameSite facilita que la cookie de sesión sea enviada en peticiones de sitios cruzados, exponiendo al usuario a ataques CSRF.

[LOW] Server header expuesto: La cabecera revela el uso de Apache, facilitando a potenciales atacantes la búsqueda de vulnerabilidades específicas para esa tecnología.

[LOW] Ruta sensible en robots.txt: Se hace referencia directa a un directorio administrativo, lo que proporciona información valiosa sobre la estructura interna del servidor.

[LOW] sitemap.xml: El archivo de mapa del sitio no fue encontrado, lo que dificulta la auditoría de rutas públicas y la correcta indexación.