Qué escaneamos
Scanthra realiza una comprobación amigable y pasiva de tu sitio web. Nunca iniciamos sesión, nunca aplicamos fuerza bruta, nunca sobrecargamos tu servidor. Aquí tienes exactamente lo que revisamos — en lenguaje sencillo.
Lo básico — ¿está bien cerrado tu sitio web?
🔒 Encabezados de seguridad
Comprobamos si tu sitio web le indica al navegador que se comporte de forma segura: HSTS (forzado de HTTPS), CSP (Content Security Policy) (bloquear scripts inyectados), X-Frame-Options (prevenir clickjacking), X-Content-Type-Options, Referrer-Policy y Permissions-Policy. Los encabezados HTTP ausentes son una fuente común de pequeñas filtraciones que se acumulan.
🔐 Certificado y cifrado TLS/SSL
¿Es válido tu certificado, quién lo emitió, cuándo caduca y admite TLS/SSL (cifrado) moderno? Un certificado caducado puede arruinar las ventas en un día. Un protocolo débil pone en riesgo a tus visitantes.
🍪 Banderas de cookie
Revisamos tus cookies — ¿están marcadas como Secure, HttpOnly y tienen un SameSite sensato? Sin estas banderas, las sesiones de inicio de sesión pueden filtrarse en redes Wi-Fi públicas o ser robadas por scripts maliciosos.
Cosas ocultas que no pretendías publicar
📁 Archivos expuestos
Archivos de copia de seguridad, .env, carpetas .git, volcados de base de datos,
paneles de administración olvidados — comprobamos una lista curada de rutas conocidas que
no deberían ser públicas.
🚪 Páginas de inicio de sesión y administración
Detectamos dónde está tu inicio de sesión de administración (/wp-admin,
/administrator, etc.) para que puedas decidir si debería estar
restringido por IP o protegido con un segundo factor.
🤖 robots.txt y .well-known
A veces robots.txt filtra los nombres de carpetas que no
quieres indexadas. Tu directorio .well-known puede revelar más de lo que
piensas.
Con qué está construido tu sitio web
🧱 CMS (gestor de contenidos) y versiones
Si usas WordPress, Joomla, Drupal, Shopify o PrestaShop, lo identificamos y leemos sus marcadores de versión públicos. Las versiones desactualizadas de CMS (gestor de contenidos) son la principal causa de hackeos en sitios web de pequeñas empresas.
🔍 Identificación de tecnologías
Detectamos el software del servidor (nginx, Apache), el lenguaje (PHP, Node) y las bibliotecas de frontend más comunes — solo a partir de los encabezados HTTP y el HTML que ya son públicos.
📚 Búsqueda pasiva de CVE (base pública de vulnerabilidades)
Cuando detectamos una versión específica de un componente conocido, la cruzamos con una copia local de la base de datos pública de vulnerabilidades (NVD). Sin exploits, sin sondeos — simplemente: «oye, esa versión tiene un problema conocido; aquí está la actualización que necesitas».
Seguridad del correo — la reputación de tu dominio
📧 SPF, DKIM y DMARC (protección del correo)
Si tu dominio no tiene SPF / DKIM / DMARC (protección del correo), cualquiera puede suplantar correos haciéndose pasar por ti — tu banco, tu cliente, tu proveedor. Comprobamos si estos registros DNS existen y tienen buen aspecto. Un DMARC ausente es una de las principales causas de problemas de entregabilidad y suplantación por phishing.
Lo que deliberadamente no hacemos
- Sin escaneo de puertos, sin
nmap— nunca sondeamos lo que no es una página web. - Sin intentos de inicio de sesión, sin fuerza bruta, sin adivinar contraseñas.
- Sin explotación activa, sin inyección de cargas, sin fuzzing.
- Sin saturación de tráfico — enviamos unos 30 solicitudes educadas en total.
En otras palabras: nada de lo que tu proveedor de hosting pudiera quejarse. Un escaneo de Scanthra se parece exactamente a un visitante curioso leyendo unas pocas páginas públicas.