Seguridad de wikipedia.org

[HIGH] Content-Security-Policy: La ausencia de esta cabecera permite la ejecución de scripts no autorizados y ataques de Cross-Site Scripting (XSS).

[HIGH] X-Frame-Options: Al no estar presente, el sitio es vulnerable a ataques de clickjacking, permitiendo que sea cargado en marcos externos maliciosos.

[HIGH] Cookie GeoIP (HttpOnly): La falta del atributo HttpOnly permite que la cookie sea accesible mediante JavaScript, aumentando el riesgo de robo de información en caso de XSS.

[HIGH] Cookie NetworkProbeLimit (HttpOnly): Esta cookie carece de protección contra acceso por script, lo que facilita la exfiltración de datos técnicos de la sesión.

[MEDIUM] X-Content-Type-Options: La falta de esta cabecera permite el MIME-type sniffing, lo que podría llevar al navegador a ejecutar archivos con contenido malicioso disfrazado.

[MEDIUM] Referrer-Policy: No se ha definido una política para el envío de información de procedencia, lo que puede filtrar datos de navegación a sitios externos.

[MEDIUM] Permissions-Policy: La ausencia de esta configuración impide restringir el acceso del navegador a funciones sensibles como la cámara, el micrófono o la geolocalización.

[MEDIUM] Atributo SameSite en Cookies: Las cookies WMF-Last-Access, WMF-Last-Access-Global y GeoIP no tienen definido el atributo SameSite, lo que las hace vulnerables a ataques de Cross-Site Request Forgery (CSRF).

[MEDIUM] Bloqueo total en robots.txt: La directiva de bloqueo total puede ocultar comportamientos anómalos o dificultar la auditoría legítima de rutas públicas.

[LOW] Server header expuesto: La cabecera Server revela el uso de ATS/9.2.13, proporcionando a potenciales atacantes información valiosa sobre la tecnología y versión del servidor.

[LOW] Ruta sensible en robots.txt: La mención de la ruta "admin" en el archivo de rastreo facilita la enumeración de directorios privados por parte de agentes malintencionados.