Defaults.Exposed

Defaults.Exposed › Αναφορές

Τι αποκαλύπτουν στους επιτιθέμενους οι κεφαλίδες του διακομιστή σας: Η αναφορά αποκάλυψης στοίβας (2026)

Δημοσιεύτηκε 2026-06-29

Στοιχεία από 2026-06-29 · μεθοδολογία v7. Συγκεντρωτικά δεδομένα απογραφής από παρατηρούμενες κεφαλίδες απόκρισης HTTP (Server, X-Powered-By). Δείτε πώς βαθμολογούμε.

Το μεγαλύτερο μέρος του ιστού αποκαλύπτει οικειοθελώς τι τρέχει: το 71.4% των ιστότοπων ονομάζει τον διακομιστή ιστού του στις κεφαλίδες απόκρισης, και το 8.1% προχωρά παραπέρα και αποκαλύπτει τη στοίβα της εφαρμογής του — συχνά με την ακριβή έκδοση. Τίποτα από αυτά δεν είναι απαραίτητο, και κάθε κομμάτι του είναι μια δωρεάν υπόδειξη για έναν επιτιθέμενο που αποφασίζει τι θα στοχεύσει. Η αποκάλυψη έκδοσης είναι το χειρότερο: μια κεφαλίδα που διαφημίζει λογισμικό στο τέλος του κύκλου ζωής του είναι μια πρόσκληση.

Τι ανακοινώνει ο ιστός

Η κεφαλίδα Server ονομάζει το λογισμικό του διακομιστή ιστού. Από 2026-06-29, οι πιο συνηθισμένες τιμές μεταξύ του 71.4% των ιστότοπων που στέλνουν μία:

Κεφαλίδα ServerΜερίδιο των ιστότοπων που στέλνουν μία
cloudflare21.7%
nginx16.0%
apache14.9%
openresty9.2%
squarespace4.9%

Το όνομα του διακομιστή από μόνο του είναι χαμηλού κινδύνου. Η πραγματική έκθεση είναι η X-Powered-By, την οποία στέλνει το 8.1% των ιστότοπων — και που συχνά περιλαμβάνει μια ακριβή έκδοση. Οι πιο συνηθισμένες τιμές περιλαμβάνουν το asp.net και συγκεκριμένες εκδόσεις PHP όπως το php/7.4.33.

Γιατί έχει σημασία η αποκάλυψη έκδοσης

Ένας επιτιθέμενος που σαρώνει το διαδίκτυο για μια γνωστή ευπάθεια φιλτράρει ακριβώς με βάση αυτές τις κεφαλίδες. Ένας ιστότοπος που διαφημίζει το php/7.4.33 — μια έκδοση PHP στο τέλος του κύκλου ζωής της που δεν λαμβάνει πλέον ενημερώσεις ασφαλείας — λέει σε κάθε σαρωτή ότι μπορεί να είναι εκμεταλλεύσιμος, πριν από μία μόνο ανίχνευση. Η αποκάλυψη δεν δημιουργεί την ευπάθεια, αλλά αφαιρεί το κόστος αναγνώρισης του επιτιθέμενου και μετακινεί έναν μη ενημερωμένο ιστότοπο στην κορυφή της λίστας.

Η διόρθωση είναι δωρεάν και δεν έχει κανένα μειονέκτημα για τους επισκέπτες: καταστείλετε ή γενικεύστε αυτές τις κεφαλίδες. Δεν υπάρχει κανένας λειτουργικός λόγος να μεταδίδετε δημόσια την έκδοση της στοίβας σας.

Πώς να σταματήσετε να διαρρέετε τη στοίβα σας

  1. Αφαιρέστε τελείως το X-Powered-By — δεν εξυπηρετεί κανέναν σκοπό για τους επισκέπτες. (Μία οδηγία στο PHP/το framework σας ή μια αφαίρεση κεφαλίδας στον proxy.)
  2. Γενικεύστε το Server — αφαιρέστε την έκδοση, ή την κεφαλίδα, στον διακομιστή ιστού ή το CDN σας.
  3. Διατηρήστε τη στοίβα ενημερωμένη σε κάθε περίπτωση — η απόκρυψη της έκδοσης κερδίζει χρόνο, δεν αντικαθιστά την ενημέρωση.
  4. Ελέγξτε ξανά για να επιβεβαιώσετε ότι οι κεφαλίδες έχουν εξαφανιστεί.

Συχνές ερωτήσεις

Τι είναι η κεφαλίδα X-Powered-By; Μια κεφαλίδα απόκρισης που διαφημίζει το framework της εφαρμογής και συχνά την ακριβή έκδοσή του (π.χ. μια συγκεκριμένη έκδοση PHP). Είναι προαιρετική και δεν παρέχει κανένα όφελος στους επισκέπτες — μόνο στους επιτιθέμενους. Το 8.1% των ιστότοπων στέλνει μία.

Είναι η αποκάλυψη του λογισμικού του διακομιστή μου ευπάθεια; Όχι από μόνη της, αλλά είναι αποκάλυψη πληροφοριών: επιτρέπει στους επιτιθέμενους να φιλτράρουν για γνωστές ευπάθειες στη συγκεκριμένη στοίβα και έκδοσή σας, μειώνοντας την αναγνώρισή τους στο μηδέν. Η βέλτιστη πρακτική είναι να την καταστείλετε.

Πρέπει να κρύψω την κεφαλίδα Server; Η γενίκευσή της (η αφαίρεση της έκδοσης) είναι καλή πρακτική. Το μεγαλύτερο όφελος είναι η αφαίρεση του X-Powered-By και η διατήρηση του λογισμικού ενημερωμένου.

Βλάπτει αυτό το SEO ή τους επισκέπτες; Όχι. Αυτές οι κεφαλίδες είναι αόρατες στους χρήστες και άσχετες για τις μηχανές αναζήτησης. Η αφαίρεσή τους είναι καθαρά θετική.

Ελέγξτε τι αποκαλύπτουν οι κεφαλίδες σας

Δείτε ακριβώς τι ανακοινώνει ο ιστότοπός σας — και τι να αφαιρέσετε — δωρεάν και ιδιωτικά.

Ελέγξτε τον τομέα σας → · Η κάρτα αναφοράς κεφαλίδων ασφαλείας HTTP → · Μόνο συγκεντρωτικά δεδομένα. Τα δεδομένα αποθηκεύονται και επεξεργάζονται στην ΕΕ.