Seguridad de urw-rand-across-items.trycloudflare.com

[HIGH] Content-Security-Policy: Falta esta cabecera esencial, facilitando ataques de inyección de código y Cross-Site Scripting (XSS).

[HIGH] X-Frame-Options: La ausencia de esta directiva permite que el sitio sea embebido en marcos externos, posibilitando ataques de clickjacking.

[HIGH] Strict-Transport-Security: No existe una política HSTS, lo que impide forzar el uso de conexiones seguras y expone a los usuarios a ataques de degradación de protocolo.

[HIGH] Redirección HTTPS: El servidor permite el acceso por el puerto 80 sin redirigir automáticamente al tráfico cifrado, dejando los datos vulnerables a la interceptación.

[MEDIUM] X-Content-Type-Options: La falta de esta cabecera permite que los navegadores realicen sniffing de tipos MIME, lo que puede derivar en la ejecución de archivos maliciosos.

[MEDIUM] Referrer-Policy: No se controla la información de procedencia enviada en las peticiones, lo que podría filtrar datos sensibles de la navegación a terceros.

[MEDIUM] Permissions-Policy: El servidor no restringe el acceso a APIs sensibles del navegador como la cámara o el micrófono.

[MEDIUM] Archivos informativos expuestos: Los archivos /readme.html y /README.txt son accesibles públicamente y pueden revelar detalles técnicos de la infraestructura.

[MEDIUM] Paneles de gestión expuestos: Se detectó que rutas como /wp-login.php, /administrator/ y /user/login están activas, facilitando intentos de acceso no autorizado.

[MEDIUM] Puerto 8080 abierto: La disponibilidad del puerto HTTP-Alt representa un vector de ataque adicional si no se encuentra estrictamente monitorizado.

[LOW] Server header expuesto: El servidor revela el uso de tecnología Cloudflare, entregando información útil para la fase de reconocimiento de un atacante.