Seguridad de unizar.es

[HIGH] Ausencia de Redirección HTTPS: El servidor no redirige automáticamente las conexiones HTTP a HTTPS, permitiendo el tráfico de datos sin cifrar.

[HIGH] Falta de Strict-Transport-Security (HSTS): No se comunica al navegador la obligatoriedad de usar conexiones seguras, facilitando ataques de degradación de SSL.

[HIGH] Falta de Content-Security-Policy (CSP): El sitio carece de una política que prevenga ataques de Cross-Site Scripting (XSS) e inyección de contenido.

[MEDIUM] Contenido Mixto Detectado: Se identificaron 101 recursos (hojas de estilo y enlaces) cargando por HTTP dentro de la página HTTPS, lo que debilita el cifrado.

[MEDIUM] Falta de Referrer-Policy: No existe control sobre la información de navegación que se comparte con terceros al hacer clic en enlaces externos.

[MEDIUM] Falta de Permissions-Policy: El sitio no restringe el acceso del navegador a funciones sensibles como la cámara, el micrófono o la ubicación.

[MEDIUM] Puerto 22 (SSH) Abierto: La interfaz de administración remota es visible públicamente, lo que aumenta la superficie de ataque para intentos de intrusión.

[LOW] Exposición de Cabecera Server: El servidor revela el uso de nginx/1.24.0 (Ubuntu), proporcionando datos técnicos útiles para un atacante.

[LOW] Exposición de Cabecera X-Powered-By: Se muestra públicamente la versión PHP/8.2.30 utilizada por la aplicación.

[LOW] Meta generator expuesto: El código fuente confirma el uso de Drupal 10, exponiendo la tecnología base del sitio.

[LOW] Rutas sensibles en robots.txt: Se referencian directorios como admin y config, guiando involuntariamente a posibles atacantes hacia zonas restringidas.

[LOW] Ausencia de sitemap.xml: El archivo de mapa del sitio no fue localizado, lo que afecta la organización y auditoría de la estructura web.