Defaults.Exposed › Αναφορές
Τι αποκαλύπτουν στους επιτιθέμενους οι κεφαλίδες του διακομιστή σας: Η αναφορά αποκάλυψης στοίβας (2026)
Δημοσιεύτηκε 2026-06-29
Στοιχεία από 2026-06-29 · μεθοδολογία v7. Συγκεντρωτικά δεδομένα απογραφής από παρατηρούμενες κεφαλίδες απόκρισης HTTP (
Server,X-Powered-By). Δείτε πώς βαθμολογούμε.
Το μεγαλύτερο μέρος του ιστού αποκαλύπτει οικειοθελώς τι τρέχει: το 71.4% των ιστότοπων ονομάζει τον διακομιστή ιστού του στις κεφαλίδες απόκρισης, και το 8.1% προχωρά παραπέρα και αποκαλύπτει τη στοίβα της εφαρμογής του — συχνά με την ακριβή έκδοση. Τίποτα από αυτά δεν είναι απαραίτητο, και κάθε κομμάτι του είναι μια δωρεάν υπόδειξη για έναν επιτιθέμενο που αποφασίζει τι θα στοχεύσει. Η αποκάλυψη έκδοσης είναι το χειρότερο: μια κεφαλίδα που διαφημίζει λογισμικό στο τέλος του κύκλου ζωής του είναι μια πρόσκληση.
Τι ανακοινώνει ο ιστός
Η κεφαλίδα Server ονομάζει το λογισμικό του διακομιστή ιστού. Από 2026-06-29, οι πιο συνηθισμένες τιμές μεταξύ του 71.4% των ιστότοπων που στέλνουν μία:
| Κεφαλίδα Server | Μερίδιο των ιστότοπων που στέλνουν μία |
|---|---|
| cloudflare | 21.7% |
| nginx | 16.0% |
| apache | 14.9% |
| openresty | 9.2% |
| squarespace | 4.9% |
Το όνομα του διακομιστή από μόνο του είναι χαμηλού κινδύνου. Η πραγματική έκθεση είναι η X-Powered-By, την οποία στέλνει το 8.1% των ιστότοπων — και που συχνά περιλαμβάνει μια ακριβή έκδοση. Οι πιο συνηθισμένες τιμές περιλαμβάνουν το asp.net και συγκεκριμένες εκδόσεις PHP όπως το php/7.4.33.
Γιατί έχει σημασία η αποκάλυψη έκδοσης
Ένας επιτιθέμενος που σαρώνει το διαδίκτυο για μια γνωστή ευπάθεια φιλτράρει ακριβώς με βάση αυτές τις κεφαλίδες. Ένας ιστότοπος που διαφημίζει το php/7.4.33 — μια έκδοση PHP στο τέλος του κύκλου ζωής της που δεν λαμβάνει πλέον ενημερώσεις ασφαλείας — λέει σε κάθε σαρωτή ότι μπορεί να είναι εκμεταλλεύσιμος, πριν από μία μόνο ανίχνευση. Η αποκάλυψη δεν δημιουργεί την ευπάθεια, αλλά αφαιρεί το κόστος αναγνώρισης του επιτιθέμενου και μετακινεί έναν μη ενημερωμένο ιστότοπο στην κορυφή της λίστας.
Η διόρθωση είναι δωρεάν και δεν έχει κανένα μειονέκτημα για τους επισκέπτες: καταστείλετε ή γενικεύστε αυτές τις κεφαλίδες. Δεν υπάρχει κανένας λειτουργικός λόγος να μεταδίδετε δημόσια την έκδοση της στοίβας σας.
Πώς να σταματήσετε να διαρρέετε τη στοίβα σας
- Αφαιρέστε τελείως το
X-Powered-By— δεν εξυπηρετεί κανέναν σκοπό για τους επισκέπτες. (Μία οδηγία στο PHP/το framework σας ή μια αφαίρεση κεφαλίδας στον proxy.) - Γενικεύστε το
Server— αφαιρέστε την έκδοση, ή την κεφαλίδα, στον διακομιστή ιστού ή το CDN σας. - Διατηρήστε τη στοίβα ενημερωμένη σε κάθε περίπτωση — η απόκρυψη της έκδοσης κερδίζει χρόνο, δεν αντικαθιστά την ενημέρωση.
- Ελέγξτε ξανά για να επιβεβαιώσετε ότι οι κεφαλίδες έχουν εξαφανιστεί.
Συχνές ερωτήσεις
Τι είναι η κεφαλίδα X-Powered-By; Μια κεφαλίδα απόκρισης που διαφημίζει το framework της εφαρμογής και συχνά την ακριβή έκδοσή του (π.χ. μια συγκεκριμένη έκδοση PHP). Είναι προαιρετική και δεν παρέχει κανένα όφελος στους επισκέπτες — μόνο στους επιτιθέμενους. Το 8.1% των ιστότοπων στέλνει μία.
Είναι η αποκάλυψη του λογισμικού του διακομιστή μου ευπάθεια; Όχι από μόνη της, αλλά είναι αποκάλυψη πληροφοριών: επιτρέπει στους επιτιθέμενους να φιλτράρουν για γνωστές ευπάθειες στη συγκεκριμένη στοίβα και έκδοσή σας, μειώνοντας την αναγνώρισή τους στο μηδέν. Η βέλτιστη πρακτική είναι να την καταστείλετε.
Πρέπει να κρύψω την κεφαλίδα Server;
Η γενίκευσή της (η αφαίρεση της έκδοσης) είναι καλή πρακτική. Το μεγαλύτερο όφελος είναι η αφαίρεση του X-Powered-By και η διατήρηση του λογισμικού ενημερωμένου.
Βλάπτει αυτό το SEO ή τους επισκέπτες; Όχι. Αυτές οι κεφαλίδες είναι αόρατες στους χρήστες και άσχετες για τις μηχανές αναζήτησης. Η αφαίρεσή τους είναι καθαρά θετική.
Ελέγξτε τι αποκαλύπτουν οι κεφαλίδες σας
Δείτε ακριβώς τι ανακοινώνει ο ιστότοπός σας — και τι να αφαιρέσετε — δωρεάν και ιδιωτικά.
Ελέγξτε τον τομέα σας → · Η κάρτα αναφοράς κεφαλίδων ασφαλείας HTTP → · Μόνο συγκεντρωτικά δεδομένα. Τα δεδομένα αποθηκεύονται και επεξεργάζονται στην ΕΕ.