Defaults.Exposed › Zprávy
Co vaše serverové hlavičky prozrazují útočníkům: Zpráva o odhalení stacku (2026)
Publikováno 2026-06-29
Údaje k 2026-06-29 · metodika v7. Agregovaná census data z pozorovaných hlaviček odpovědí HTTP (
Server,X-Powered-By). Viz jak hodnotíme.
Většina webu dobrovolně prozrazuje, na čem běží: 71.4% webů uvádí svůj webový server v hlavičkách odpovědí a 8.1% jde dál a odhaluje svůj aplikační zásobník — často s přesnou verzí. Nic z toho není povinné a každý takový údaj je bezplatná nápověda pro útočníka, který se rozhoduje, na co zaútočit. Prozrazení verze je nejhorší: hlavička inzerující software po konci podpory je pozvánka.
Co web oznamuje
Hlavička Server uvádí software webového serveru. K 2026-06-29 jsou nejčastější hodnoty mezi 71.4% webů, které ji posílají:
| Hlavička Server | Podíl webů, které ji posílají |
|---|---|
| cloudflare | 21.7% |
| nginx | 16.0% |
| apache | 14.9% |
| openresty | 9.2% |
| squarespace | 4.9% |
Samotný název serveru je málo rizikový. Skutečné odhalení představuje X-Powered-By, kterou posílá 8.1% webů — a která často obsahuje přesnou verzi. Nejčastější hodnoty zahrnují asp.net a konkrétní sestavení PHP jako php/7.4.33.
Proč na prozrazení verze záleží
Útočník, který prohledává internet kvůli známé zranitelnosti, filtruje přesně podle těchto hlaviček. Web inzerující php/7.4.33 — verzi PHP po konci podpory, která už nedostává bezpečnostní záplaty — říká každému skeneru, že může být zneužitelný, ještě před jediným zkušebním dotazem. Prozrazení zranitelnost nevytváří, ale odstraňuje útočníkovy náklady na průzkum a posouvá nezáplatovaný web na vrchol seznamu.
Náprava je zdarma a pro návštěvníky nemá žádnou nevýhodu: tyto hlavičky potlačte nebo zobecněte. Neexistuje žádný funkční důvod veřejně šířit verzi vašeho zásobníku.
Jak přestat prozrazovat svůj zásobník
- Zcela odstraňte
X-Powered-By— pro návštěvníky neslouží žádnému účelu. (Jedna direktiva v PHP/vašem frameworku nebo odstranění hlavičky na proxy.) - Zobecněte
Server— odstraňte verzi nebo celou hlavičku na svém webovém serveru nebo CDN. - Přesto udržujte zásobník záplatovaný — skrytí verze získá čas, nenahrazuje aktualizaci.
- Znovu zkontrolujte, zda hlavičky zmizely.
Často kladené otázky
Co je hlavička X-Powered-By? Hlavička odpovědi, která inzeruje aplikační framework a často jeho přesnou verzi (např. konkrétní sestavení PHP). Je volitelná a návštěvníkům nepřináší žádný užitek — jen útočníkům. 8.1% webů ji posílá.
Je odhalení softwaru mého serveru zranitelnost? Samo o sobě ne, ale jde o únik informací: umožňuje útočníkům filtrovat známé zranitelnosti ve vašem konkrétním zásobníku a verzi, čímž jejich průzkum srazí na nulu. Osvědčeným postupem je ji potlačit.
Měl bych hlavičku Server skrýt?
Zobecnit ji (odstranit verzi) je dobrá praxe. Větším přínosem je odstranit X-Powered-By a udržovat software záplatovaný.
Poškodí to SEO nebo návštěvníky? Ne. Tyto hlavičky jsou pro uživatele neviditelné a pro vyhledávače nepodstatné. Jejich odstranění je čistý přínos.
Zkontrolujte, co vaše hlavičky prozrazují
Podívejte se přesně, co váš web oznamuje — a co odstranit — zdarma a soukromě.
Zkontrolujte svou doménu → · Vysvědčení bezpečnostních hlaviček HTTP → · Pouze agregovaná data. Data ukládána a zpracovávána v EU.