Defaults.Exposed › Доклади
Какво казват заглавките на сървъра ви на атакуващите: Докладът за разкриване на стека (2026)
Публикувано 2026-06-29
Данни към 2026-06-29 · методология v7. Агрегирани данни от преброяването от наблюдавани HTTP отговорни заглавки (
Server,X-Powered-By). Вижте как оценяваме.
По-голямата част от мрежата доброволно казва какво работи: 71.4% от сайтовете назовават уеб сървъра си в отговорните заглавки, а 8.1% отиват по-далеч и разкриват стека на приложението — често с точната версия. Нищо от това не е необходимо и всеки бит от него е безплатен намек за атакуващ, решаващ какво да целенасочи. Разкриването на версията е най-лошото: заглавка, рекламираща софтуер с изтекъл срок на поддръжка, е покана.
Какво обявява мрежата
Заглавката Server назовава уеб сървърния софтуер. Към 2026-06-29, най-честите стойности сред 71.4% от сайтовете, изпращащи такава:
| Заглавка Server | Дял от сайтовете, изпращащи такава |
|---|---|
| cloudflare | 21.7% |
| nginx | 16.0% |
| apache | 14.9% |
| openresty | 9.2% |
| squarespace | 4.9% |
Само името на сървъра е нисък риск. Реалното излагане е X-Powered-By, изпращан от 8.1% от сайтовете — и често включващ точна версия. Най-честите стойности включват asp.net и конкретни PHP компилации като php/7.4.33.
Защо разкриването на версията има значение
Атакуващ, сканиращ интернет за известна уязвимост, филтрира по точно тези заглавки. Сайт, рекламиращ php/7.4.33 — версия на PHP с изтекъл срок на поддръжка, вече не получаваща пачове за сигурност — казва на всеки скенер, че може да е уязвим, преди дори едно сондиране. Разкриването не създава уязвимостта, но премахва разузнавателния разход на атакуващия и поставя непоправен сайт на върха на списъка.
Поправката е безплатна и няма недостатъци за посетителите: потиснете или обобщете тези заглавки. Няма функционална причина да излъчвате версията на стека си към обществеността.
Как да спрете да изтичате стека си
- Премахнете
X-Powered-Byизцяло — не служи за нищо на посетителите. (Една директива в PHP/фреймуърка или отстраняване на заглавка при проксито.) - Обобщете
Server— изчистете версията или заглавката при уеб сървъра или CDN. - Пазете стека закърпен независимо — скриването на версията печели време, не замества актуализирането.
- Проверете отново, за да потвърдите, че заглавките са изчезнали.
Често задавани въпроси
Какво е заглавката X-Powered-By? Отговорна заглавка, рекламираща приложния фреймуърк и честo точната му версия (напр. конкретна PHP компилация). Тя е незадължителна и не предоставя никаква полза на посетителите — само на атакуващите. 8.1% от сайтовете изпращат такава.
Разкриването на сървърния ми софтуер уязвимост ли е? Не само по себе си, но е разкриване на информация: позволява на атакуващите да филтрират за известни уязвимости в конкретния ви стек и версия, намалявайки разузнаването им до нула. Добрата практика е да го потиснете.
Трябва ли да скрия заглавката Server?
Обобщаването й (изпускане на версията) е добра практика. По-голямата печалба е премахването на X-Powered-By и поддържането на закърпен софтуер.
Наранява ли това SEO или посетителите? Не. Тези заглавки са невидими за потребителите и без значение за търсачките. Премахването им е само положително.
Проверете какво разкриват заглавките ви
Вижте точно какво обявява сайтът ви — и какво да изчистите — безплатно и поверително.
Проверете своя домейн → · Докладната карта за заглавки за HTTP сигурност → · Само агрегирани данни. Данните се съхраняват и обработват в ЕС.