Defaults.Exposed › Berichte
Was Ihre Server-Header Angreifern verraten: Der Stack-Disclosure-Report (2026)
Veröffentlicht 2026-06-29
Zahlen mit Stand 2026-06-29 · Methodik v7. Aggregierte Zensusdaten aus beobachteten HTTP-Antwort-Headern (
Server,X-Powered-By). Siehe wie wir bewerten.
Der Großteil des Webs verrät freiwillig, womit er läuft: 71,4% der Websites nennen ihren Webserver in den Antwort-Headern, und 8,1% gehen noch weiter und geben ihren Anwendungs-Stack preis — oft mit der genauen Version. Nichts davon ist erforderlich, und jedes einzelne Detail ist ein kostenloser Hinweis für einen Angreifer, der entscheidet, was er ins Visier nimmt. Die Versionspreisgabe ist das Schlimmste: Ein Header, der ein Software-Produkt am Ende seines Lebenszyklus bewirbt, ist eine Einladung.
Was das Web verkündet
Der Server-Header nennt die Webserver-Software. Mit Stand 2026-06-29 sind die häufigsten Werte unter den 71,4% der Websites, die einen senden:
| Server-Header | Anteil der Websites, die einen senden |
|---|---|
| cloudflare | 21,7% |
| nginx | 16,0% |
| apache | 14,9% |
| openresty | 9,2% |
| squarespace | 4,9% |
Der Servername allein ist risikoarm. Das eigentliche Risiko ist X-Powered-By, das 8,1% der Websites senden — und das häufig eine präzise Version enthält. Zu den häufigsten Werten gehören asp.net und bestimmte PHP-Builds wie php/7.4.33.
Warum die Versionspreisgabe wichtig ist
Ein Angreifer, der das Internet nach einer bekannten Schwachstelle durchsucht, filtert genau nach diesen Headern. Eine Website, die php/7.4.33 bewirbt — eine PHP-Version am Ende ihres Lebenszyklus, die keine Sicherheits-Patches mehr erhält — teilt jedem Scanner mit, dass sie ausnutzbar sein könnte, noch vor dem ersten Probe-Zugriff. Die Preisgabe erzeugt die Schwachstelle nicht, aber sie nimmt dem Angreifer die Aufklärungskosten und schiebt eine ungepatchte Website an die Spitze der Liste.
Die Behebung ist kostenlos und hat keinen Nachteil für Besucher: diese Header unterdrücken oder generisch machen. Es gibt keinen funktionalen Grund, Ihre Stack-Version öffentlich zu verkünden.
So hören Sie auf, Ihren Stack zu verraten
- Entfernen Sie
X-Powered-Byvollständig — er hat keinen Zweck für Besucher. (Eine Direktive in PHP/Ihrem Framework oder ein Header-Strip am Proxy.) - Machen Sie
Servergenerisch — entfernen Sie die Version oder den Header an Ihrem Webserver oder CDN. - Halten Sie den Stack trotzdem gepatcht — die Version zu verstecken verschafft Zeit, ersetzt aber keine Updates.
- Prüfen Sie erneut, um zu bestätigen, dass die Header verschwunden sind.
Häufig gestellte Fragen
Was ist der X-Powered-By-Header? Ein Antwort-Header, der das Anwendungs-Framework und oft seine genaue Version bewirbt (z. B. einen bestimmten PHP-Build). Er ist optional und bietet keinen Nutzen für Besucher — nur für Angreifer. 8,1% der Websites senden einen.
Ist die Preisgabe meiner Server-Software eine Schwachstelle? Nicht für sich allein, aber sie ist eine Informationspreisgabe: Sie ermöglicht es Angreifern, nach bekannten Schwachstellen in Ihrem spezifischen Stack und Ihrer Version zu filtern und ihre Aufklärung auf null zu reduzieren. Best Practice ist es, sie zu unterdrücken.
Sollte ich den Server-Header verstecken?
Ihn generisch zu machen (die Version wegzulassen) ist gute Praxis. Der größere Gewinn ist das Entfernen von X-Powered-By und das Aktuellhalten der Software.
Schadet das der SEO oder den Besuchern? Nein. Diese Header sind für Nutzer unsichtbar und für Suchmaschinen irrelevant. Sie zu entfernen ist reiner Vorteil.
Prüfen Sie, was Ihre Header verraten
Sehen Sie genau, was Ihre Website verkündet — und was Sie entfernen sollten — kostenlos und privat.
Prüfen Sie Ihre Domain → · Das Bewertungszeugnis der HTTP-Sicherheits-Header → · Nur aggregierte Daten. Daten in der EU gespeichert und verarbeitet.