Seguridad de tiendanube.com

[HIGH] WordPress version: La versión 1 del CMS se encuentra expuesta públicamente, lo que facilita a atacantes la búsqueda y explotación de CVEs conocidos.

[HIGH] Content-Security-Policy: Falta esta cabecera crítica que previene ataques de Cross-Site Scripting (XSS) e inyecciones de contenido malicioso.

[HIGH] X-Frame-Options: Ausencia de protección contra ataques de clickjacking, permitiendo que el sitio sea embebido en marcos externos no autorizados.

[HIGH] Strict-Transport-Security: La cabecera HSTS no está configurada, por lo que el servidor no obliga al navegador a mantener siempre una conexión segura.

[MEDIUM] Puerto 8080 (HTTP-Alt): El puerto se encuentra abierto, lo cual representa un riesgo al ser utilizado habitualmente para servicios de administración o proxies alternativos.

[MEDIUM] Recurso HTTP (Mixed Content): Se detectó un enlace a una hoja de estilo (gmpg.org) mediante protocolo inseguro HTTP dentro de una página HTTPS.

[MEDIUM] Cookie Security: La cookie __cf_bm carece del atributo SameSite, lo que incrementa el riesgo de ataques de falsificación de petición en sitios cruzados (CSRF).

[MEDIUM] X-Content-Type-Options: No se previene el MIME-type sniffing, lo que podría permitir que archivos cargados sean interpretados de forma malintencionada por el navegador.

[MEDIUM] Referrer-Policy: Falta el control sobre cuánta información de referencia se envía al navegar hacia otros dominios.

[MEDIUM] Permissions-Policy: No se han definido restricciones para el uso de APIs del navegador como la ubicación, cámara o micrófono.

[LOW] Meta generator: El código fuente expone detalles específicos del plugin WPML, ayudando a perfilar la infraestructura interna.

[LOW] Server header expuesto: El encabezado revela el uso de tecnología Cloudflare, proporcionando datos útiles para la fase de reconocimiento de un atacante.

[LOW] Ruta sensible en robots.txt: Se hace referencia directa a rutas de administración, lo que orienta a posibles atacantes hacia paneles de acceso restringido.