Defaults.Exposed

Defaults.Exposed › Zprávy

Co vaše serverové hlavičky prozrazují útočníkům: Zpráva o odhalení stacku (2026)

Publikováno 2026-06-29

Údaje k 2026-06-29 · metodika v7. Agregovaná census data z pozorovaných hlaviček odpovědí HTTP (Server, X-Powered-By). Viz jak hodnotíme.

Většina webu dobrovolně prozrazuje, na čem běží: 71.4% webů uvádí svůj webový server v hlavičkách odpovědí a 8.1% jde dál a odhaluje svůj aplikační zásobník — často s přesnou verzí. Nic z toho není povinné a každý takový údaj je bezplatná nápověda pro útočníka, který se rozhoduje, na co zaútočit. Prozrazení verze je nejhorší: hlavička inzerující software po konci podpory je pozvánka.

Co web oznamuje

Hlavička Server uvádí software webového serveru. K 2026-06-29 jsou nejčastější hodnoty mezi 71.4% webů, které ji posílají:

Hlavička ServerPodíl webů, které ji posílají
cloudflare21.7%
nginx16.0%
apache14.9%
openresty9.2%
squarespace4.9%

Samotný název serveru je málo rizikový. Skutečné odhalení představuje X-Powered-By, kterou posílá 8.1% webů — a která často obsahuje přesnou verzi. Nejčastější hodnoty zahrnují asp.net a konkrétní sestavení PHP jako php/7.4.33.

Proč na prozrazení verze záleží

Útočník, který prohledává internet kvůli známé zranitelnosti, filtruje přesně podle těchto hlaviček. Web inzerující php/7.4.33verzi PHP po konci podpory, která už nedostává bezpečnostní záplaty — říká každému skeneru, že může být zneužitelný, ještě před jediným zkušebním dotazem. Prozrazení zranitelnost nevytváří, ale odstraňuje útočníkovy náklady na průzkum a posouvá nezáplatovaný web na vrchol seznamu.

Náprava je zdarma a pro návštěvníky nemá žádnou nevýhodu: tyto hlavičky potlačte nebo zobecněte. Neexistuje žádný funkční důvod veřejně šířit verzi vašeho zásobníku.

Jak přestat prozrazovat svůj zásobník

  1. Zcela odstraňte X-Powered-By — pro návštěvníky neslouží žádnému účelu. (Jedna direktiva v PHP/vašem frameworku nebo odstranění hlavičky na proxy.)
  2. Zobecněte Server — odstraňte verzi nebo celou hlavičku na svém webovém serveru nebo CDN.
  3. Přesto udržujte zásobník záplatovaný — skrytí verze získá čas, nenahrazuje aktualizaci.
  4. Znovu zkontrolujte, zda hlavičky zmizely.

Často kladené otázky

Co je hlavička X-Powered-By? Hlavička odpovědi, která inzeruje aplikační framework a často jeho přesnou verzi (např. konkrétní sestavení PHP). Je volitelná a návštěvníkům nepřináší žádný užitek — jen útočníkům. 8.1% webů ji posílá.

Je odhalení softwaru mého serveru zranitelnost? Samo o sobě ne, ale jde o únik informací: umožňuje útočníkům filtrovat známé zranitelnosti ve vašem konkrétním zásobníku a verzi, čímž jejich průzkum srazí na nulu. Osvědčeným postupem je ji potlačit.

Měl bych hlavičku Server skrýt? Zobecnit ji (odstranit verzi) je dobrá praxe. Větším přínosem je odstranit X-Powered-By a udržovat software záplatovaný.

Poškodí to SEO nebo návštěvníky? Ne. Tyto hlavičky jsou pro uživatele neviditelné a pro vyhledávače nepodstatné. Jejich odstranění je čistý přínos.

Zkontrolujte, co vaše hlavičky prozrazují

Podívejte se přesně, co váš web oznamuje — a co odstranit — zdarma a soukromě.

Zkontrolujte svou doménu → · Vysvědčení bezpečnostních hlaviček HTTP → · Pouze agregovaná data. Data ukládána a zpracovávána v EU.