Auditoría de seguridad del sitio

Una auditoría completa de tu propio sitio (con propiedad verificada): exposición de secretos (.env/.git/volcados de BD), certificado TLS, encabezados HTTP de seguridad, debilidades de CSP y errores de configuración de CORS, atributos de cookies, autenticación de correo (SPF/DKIM/DMARC) y CAA, además de la correlación de los productos expuestos con nuestro catálogo CISA KEV (explotados activamente). Un informe con calificación, correcciones y un prompt de IA.

El servidor de este sitio obtiene el sitio de destino de forma pasiva (sin ataques ni escaneo exploratorio). Por seguridad, solo puedes auditar un dominio cuya propiedad hayas verificado. Las direcciones internas/privadas están bloqueadas.

Probar un ejemplo (auditar este mismo sitio, itdef.net)

Calificación general

89 / 100

https://itdef.net/ja · Propiedad verificada mediante archivo

Archivos sensibles expuestos

Ninguna de las 24 rutas/directorios sensibles comprobados era de lectura pública.

Certificado TLS

El certificado es válido (quedan 68 días).

Emisor: Let's Encrypt
Protocolo: TLSv1.3
Suite de cifrado: TLS_AES_128_GCM_SHA256
Caduca: Sep 5 07:14:55 2026 GMT

Transporte (HTTPS)

Accesible por HTTPS.
http redirige a HTTPS.
HSTS está habilitado.

Encabezados de seguridad

Calificación B (86/100). Elementos ausentes/débiles: 1.

Detalles en la Comprobación de encabezados de seguridad →

Fortaleza de CSP (Content-Security-Policy)

'unsafe-inline' (permite JS en línea — debilita gravemente la protección contra XSS; pasa a nonce/hash)

Reconstruirlo con el Generador de CSP →

CORS (uso compartido de recursos entre orígenes)

No se observa un reflejo de origen CORS peligroso.

Atributos de seguridad de cookies

Todas las cookies tienen Secure / HttpOnly / SameSite.

Autenticación de correo (anti-suplantación)

spf — OK
dkim — OK
dmarc — Débil

Detalles en el Comprobador de SPF/DKIM/DMARC →

Divulgación de versión

No hay cadenas de versión de servidor/framework expuestas de forma destacada.

Sin CAA (opcional, pero CAA te permite limitar qué CA pueden emitir).

Sin security.txt (opcional, pero un contacto en /.well-known/security.txt es útil).

Prompt de remediación para IA (copiar y pegar)

Pégalo en Claude / ChatGPT para correcciones concretas para tu stack.

Eres un experto en seguridad web. Una auditoría de mi propio sitio (itdef.net) encontró los problemas de abajo. Solo con fines defensivos/de remediación, dime cómo corregir cada uno de forma segura en mi stack (nginx / Apache / Caddy / nube, etc.) con comandos/configuración concretos. Pregunta si algo no está claro y dime cómo verificar después las correcciones.

- Encabezados de seguridad: content-security-policy
- Fortaleza de CSP (Content-Security-Policy): unsafe-inline
- Autenticación de correo (anti-suplantación): DMARC weak

Nota: mantén intacto el comportamiento existente que funciona. No se necesitan técnicas de ataque ni bypass.

Monitorizar este sitio (gratis)

Añade tu correo y reauditaremos este sitio periódicamente, enviándote un email solo cuando su postura empeore (una nueva coincidencia con KEV, una bajada de calificación o un certificado a punto de caducar). Empieza solo después de que hagas clic en el enlace de confirmación (anti-spam). Cancela la suscripción cuando quieras.

Cómo usarla

1
Introduce el dominio de tu propio sitio
p. ej. example.com. No puedes auditar el sitio de otra persona: se requiere la verificación de propiedad.
2
Verifica la propiedad (cualquiera de las tres formas)
Coloca el token mostrado mediante ①una metaetiqueta (lo más fácil — solo pégala en el <head> de tu página principal), ②un registro DNS TXT o ③un archivo (descarga de un clic → colócalo en /.well-known/). La auditoría no comenzará hasta que se verifique.
3
Pulsa «Verificar propiedad y auditar» para la comprobación completa
Comprueba la exposición de secretos (.env/.git/volcados de BD), el certificado TLS, los encabezados, CSP/CORS, las cookies, la autenticación de correo y la correlación con KEV (CVE explotados activamente), y muestra una calificación general de A a F.
4
Corrige de rojo a ámbar
Cada elemento muestra por qué es arriesgado y cómo corregirlo. Se incluye un prompt de IA para copiar y pegar: pégalo en ChatGPT / Claude para obtener pasos adaptados a tu stack.
5
(Opcional) suscríbete a la monitorización gratuita
Añade tu correo para recibir avisos solo cuando la postura empeore. No comenzará hasta que hagas clic en el enlace de confirmación, y puedes cancelar la suscripción cuando quieras.

Por qué importa

Lo primero que busca esta herramienta es un .env, .git o volcado de BD accidentalmente público dejado en un directorio accesible desde la web: justo el accidente con el que comenzó este sitio. Además, agrupa el certificado TLS, los encabezados, los atributos de cookies, la autenticación de correo y la divulgación de versión en un único «chequeo» de tu propio sitio con propiedad verificada. La verificación de propiedad es obligatoria para que esto nunca se convierta en una «herramienta de ataque» dirigida a otros.

Preguntas frecuentes

Q¿Por qué se requiere la verificación de propiedad?

Comprobar si los archivos sensibles son públicos podría ser reconocimiento si se dirige al sitio de otra persona. Solo auditamos una vez que has demostrado que el dominio es tuyo (DNS TXT o un archivo), lo que estructuralmente impide el escaneo de terceros.

Q¿La auditoría carga mucho mi sitio?

No. Obtiene de forma pasiva un pequeño conjunto fijo de rutas una vez cada una — sin fuzzing, sin ataques. Es como la carga de abrir unas pocas páginas en un navegador.

QSi la calificación es alta, ¿estoy completamente a salvo?

No. Comprueba elementos representativos de alta señal, no todos los riesgos posibles. No confíes en exceso en un resultado verde; combínalo con mínima exposición/mínimo privilegio y comprobaciones continuas de las dependencias (escáner OSV), los encabezados y la autenticación de correo.