Defaults.Exposed › Rapporter
Hvad dine serverheadere fortæller angribere: Rapporten om stakafsløring (2026)
Udgivet 2026-06-29
Tal pr. 2026-06-29 · metodologi v7. Aggregerede folketællingsdata fra observerede HTTP-svarheadere (
Server,X-Powered-By). Se hvordan vi bedømmer.
Størstedelen af nettet afslører frivilligt, hvad det kører: 71.4% af websteder navngiver deres webserver i svarheaderne, og 8.1% går videre og afslører deres applikationsstak — ofte med den nøjagtige version. Intet af dette er påkrævet, og hver eneste bid er et gratis vink til en angriber, der beslutter, hvad han skal angribe. Versionsafsløring er det værste: en header, der reklamerer for software ved slutningen af sin levetid, er en invitation.
Hvad nettet bekendtgør
Server-headeren navngiver webserversoftwaren. Pr. 2026-06-29 er de mest almindelige værdier blandt de 71.4% af websteder, der sender en:
| Server-header | Andel af websteder, der sender en |
|---|---|
| cloudflare | 21.7% |
| nginx | 16.0% |
| apache | 14.9% |
| openresty | 9.2% |
| squarespace | 4.9% |
Servernavnet alene er lavrisiko. Den reelle eksponering er X-Powered-By, som 8.1% af websteder sender — og som ofte indeholder en præcis version. De mest almindelige værdier omfatter asp.net og specifikke PHP-builds som php/7.4.33.
Hvorfor versionsafsløring betyder noget
En angriber, der scanner internettet efter en kendt sårbarhed, filtrerer netop på disse headere. Et websted, der reklamerer for php/7.4.33 — en PHP-version ved slutningen af sin levetid, der ikke længere får sikkerhedsrettelser — fortæller enhver scanner, at det kan være sårbart, før en eneste sondering. Afsløringen skaber ikke sårbarheden, men den fjerner angriberens rekognosceringsomkostning og flytter et ikke-opdateret websted øverst på listen.
Løsningen er gratis og har ingen ulemper for besøgende: undertryk eller generaliser disse headere. Der er ingen funktionel grund til at udsende din stakversion til offentligheden.
Sådan stopper du med at lække din stak
- Fjern
X-Powered-Byfuldstændigt — den tjener intet formål for besøgende. (Ét direktiv i PHP/din ramme eller en header-fjernelse ved proxyen.) - Generaliser
Server— fjern versionen, eller headeren, ved din webserver eller CDN. - Hold stakken opdateret alligevel — at skjule versionen køber tid, det erstatter ikke opdatering.
- Tjek igen for at bekræfte, at headerne er væk.
Ofte stillede spørgsmål
Hvad er X-Powered-By-headeren? En svarheader, der reklamerer for applikationsrammen og ofte dens nøjagtige version (f.eks. et specifikt PHP-build). Den er valgfri og giver ingen fordel for besøgende — kun for angribere. 8.1% af websteder sender en.
Er det en sårbarhed at afsløre min serversoftware? Ikke i sig selv, men det er informationsafsløring: det lader angribere filtrere efter kendte sårbarheder i netop din stak og version, hvilket reducerer deres rekognoscering til nul. Bedste praksis er at undertrykke den.
Bør jeg skjule Server-headeren?
At generalisere den (fjerne versionen) er god praksis. Den større gevinst er at fjerne X-Powered-By og holde softwaren opdateret.
Skader dette SEO eller besøgende? Nej. Disse headere er usynlige for brugere og irrelevante for søgemaskiner. At fjerne dem er ren fordel.
Tjek, hvad dine headere afslører
Se præcis, hvad dit websted bekendtgør — og hvad du skal fjerne — gratis og privat.
Tjek dit domæne → · Karakterbogen for HTTP-sikkerhedsheadere → · Kun aggregerede data. Data lagres og behandles i EU.