Defaults.Exposed › التقارير
ما تكشفه ترويسات خادمك للمهاجمين: تقرير الكشف عن بنية النظام (2026)
نُشر 2026-06-29
الأرقام اعتبارًا من 2026-06-29 · المنهجية الإصدار v7. بيانات إحصائية مجمّعة من ترويسات استجابة HTTP المرصودة (
Server،X-Powered-By). انظر كيف نضع الدرجات.
معظم الويب يكشف طوعًا عمّا يشغّله: 71.4% من المواقع تذكر خادم الويب الخاص بها في ترويسات الاستجابة، و8.1% تذهب أبعد من ذلك وتكشف حزمة تطبيقاتها — غالبًا مع الإصدار الدقيق. لا شيء من هذا مطلوب، وكل جزء منه تلميح مجاني للمهاجم الذي يقرّر ما سيستهدفه. الكشف عن الإصدار هو الأسوأ: ترويسة تُعلن عن برنامج بلغ نهاية عمره الافتراضي هي دعوة صريحة.
ما الذي يعلنه الويب
ترويسة Server تذكر برنامج خادم الويب. اعتبارًا من 2026-06-29، فإن أكثر القيم شيوعًا بين الـ 71.4% من المواقع التي ترسلها:
| ترويسة Server | نسبة المواقع التي ترسلها |
|---|---|
| cloudflare | 21.7% |
| nginx | 16.0% |
| apache | 14.9% |
| openresty | 9.2% |
| squarespace | 4.9% |
اسم الخادم وحده منخفض المخاطر. التعرّض الحقيقي هو X-Powered-By، التي يرسلها 8.1% من المواقع — والتي كثيرًا ما تتضمّن إصدارًا دقيقًا. تشمل أكثر القيم شيوعًا asp.net وإصدارات PHP محدّدة مثل php/7.4.33.
لماذا يهمّ الكشف عن الإصدار
المهاجم الذي يمسح الإنترنت بحثًا عن ثغرة معروفة يُرشّح بالضبط وفق هذه الترويسات. الموقع الذي يُعلن عن php/7.4.33 — وهو إصدار PHP بلغ نهاية عمره الافتراضي ولم يعد يتلقّى تصحيحات أمنية — يُخبر كل ماسح بأنه قد يكون قابلًا للاستغلال، قبل أي محاولة فحص واحدة. الكشف لا يصنع الثغرة، لكنه يزيل تكلفة الاستطلاع عن المهاجم ويدفع موقعًا غير مُصحَّح إلى رأس القائمة.
الإصلاح مجاني وليس له أي جانب سلبي بالنسبة للزوّار: اكبح هذه الترويسات أو اجعلها عامة. لا يوجد سبب وظيفي لبثّ إصدار حزمتك علنًا.
كيف توقف تسريب حزمتك
- أزل
X-Powered-Byبالكامل — فهي لا تخدم أي غرض للزوّار. (توجيه واحد في PHP/إطار عملك أو إزالة الترويسة عند الوكيل.) - اجعل
Serverعامة — انزع الإصدار، أو الترويسة بأكملها، عند خادم الويب أو شبكة توصيل المحتوى (CDN). - حافظ على تصحيح الحزمة على أي حال — إخفاء الإصدار يكسب وقتًا، لكنه لا يحلّ محل التحديث.
- أعد الفحص للتأكّد من اختفاء الترويسات.
الأسئلة الشائعة
ما هي ترويسة X-Powered-By؟ ترويسة استجابة تُعلن عن إطار عمل التطبيق وغالبًا عن إصداره الدقيق (مثل بناء PHP محدّد). إنها اختيارية ولا تقدّم أي فائدة للزوّار — بل للمهاجمين فقط. 8.1% من المواقع ترسل واحدة.
هل الكشف عن برنامج خادمي يُعدّ ثغرة؟ ليس بحدّ ذاته، لكنه كشف عن معلومات: فهو يتيح للمهاجمين الترشيح بحثًا عن ثغرات معروفة في حزمتك وإصدارك المحدّدين، ما يُقلّص استطلاعهم إلى الصفر. أفضل ممارسة هي كبحه.
هل ينبغي أن أخفي ترويسة Server؟
جعلها عامة (بإسقاط الإصدار) ممارسة جيدة. المكسب الأكبر هو إزالة X-Powered-By والإبقاء على البرنامج مُصحَّحًا.
هل يضرّ هذا بتحسين محركات البحث (SEO) أو بالزوّار؟ لا. هذه الترويسات غير مرئية للمستخدمين وغير ذات صلة بمحركات البحث. إزالتها مكسب خالص.
تحقّق ممّا تكشفه ترويساتك
اطّلع بدقّة على ما يعلنه موقعك — وما الذي ينبغي إزالته — مجانًا وبخصوصية.
تحقّق من نطاقك → · بطاقة تقييم ترويسات أمان HTTP → · بيانات مجمّعة فقط. تُخزَّن البيانات وتُعالَج داخل الاتحاد الأوروبي.