Seguridad de tienda.proanpetfood.com

[HIGH] Cookie localization: Falta flag HttpOnly y Secure, lo que permite que la cookie sea accesible vía JavaScript (riesgo XSS) y se envíe por canales no cifrados.

[HIGH] Cookie _shopify_y: Falta flag HttpOnly y Secure, exponiendo identificadores de usuario ante posibles ataques de secuestro de sesión o interceptación de tráfico.

[HIGH] Cookie _shopify_s: Falta flag HttpOnly y Secure, lo que facilita que un atacante pueda capturar la sesión del usuario si no se utiliza una conexión cifrada de extremo a extremo.

[MEDIUM] Referrer-Policy: Cabecera ausente, lo que impide controlar la cantidad de información de procedencia que el navegador envía al navegar hacia otros enlaces.

[MEDIUM] Permissions-Policy: Cabecera ausente, dejando sin restricciones el acceso del navegador a APIs sensibles como la cámara, el micrófono o la geolocalización.

[MEDIUM] HSTS max-age insuficiente: El tiempo configurado de 91 días es inferior a los 180 días recomendados, reduciendo el periodo de protección forzada sobre HTTPS.

[MEDIUM] Puerto 8080 (HTTP-Alt) abierto: La exposición de un servidor web alternativo o proxy aumenta la superficie de ataque y posibles puntos de entrada no autorizados.

[MEDIUM] Bloqueo total en robots.txt: La directiva Disallow bloquea el rastreo completo del sitio, lo cual puede ser un error de configuración que afecte a la indexación legítima.

[LOW] Cabecera Server expuesta: Indica el uso de Cloudflare, revelando información sobre la infraestructura tecnológica que puede ser aprovechada en la fase de reconocimiento de un ataque.

[LOW] Ruta sensible en robots.txt: Se menciona la ruta admin, lo que facilita a atacantes la localización de paneles de gestión internos.