Defaults.Exposed

Defaults.Exposed › Raportit

Mitä palvelinotsakkeesi kertovat hyökkääjille: teknologiapinon paljastusraportti (2026)

Julkaistu 2026-06-29

Luvut 2026-06-29 tilanteen mukaan · menetelmä v7. Koottua väestönlaskentadataa havaituista HTTP-vastausotsakkeista (Server, X-Powered-By). Katso miten arvostelemme.

Suurin osa verkosta paljastaa vapaaehtoisesti, mitä se ajaa: 71.4% sivustoista nimeää verkkopalvelimensa vastausotsakkeissa, ja 8.1% menee pidemmälle ja paljastaa sovelluspinonsa — usein tarkan version kanssa. Mikään näistä ei ole pakollista, ja jokainen pala on ilmainen vihje hyökkääjälle, joka päättää, mitä kohteeksi otetaan. Version paljastaminen on pahin: otsake, joka mainostaa elinkaarensa päässä olevaa ohjelmistoa, on kutsu.

Mitä verkko ilmoittaa

Server-otsake nimeää verkkopalvelinohjelmiston. 2026-06-29 tilanteen mukaan yleisimmät arvot niiden 71.4% sivustojen joukossa, jotka lähettävät sellaisen:

Server-otsakeOsuus sivustoista, jotka lähettävät sellaisen
cloudflare21.7%
nginx16.0%
apache14.9%
openresty9.2%
squarespace4.9%

Palvelimen nimi yksinään on matalan riskin asia. Todellinen altistuminen on X-Powered-By, jonka 8.1% sivustoista lähettää — ja joka sisältää usein tarkan version. Yleisimpiä arvoja ovat asp.net ja tietyt PHP-versiot kuten php/7.4.33.

Miksi version paljastamisella on merkitystä

Hyökkääjä, joka skannaa internetiä tunnetun haavoittuvuuden varalta, suodattaa juuri näiden otsakkeiden perusteella. Sivusto, joka mainostaa php/7.4.33 -versiota — elinkaarensa päässä olevaa PHP-versiota, joka ei enää saa tietoturvapäivityksiä — kertoo jokaiselle skannerille, että se voi olla haavoittuva, ennen kuin yhtäkään luotausta on tehty. Paljastaminen ei luo haavoittuvuutta, mutta se poistaa hyökkääjän tiedustelukustannuksen ja siirtää päivittämättömän sivuston listan kärkeen.

Korjaus on ilmainen eikä siitä ole haittaa kävijöille: vaienna tai yleistä nämä otsakkeet. Ei ole mitään toiminnallista syytä lähettää pinosi versiota julkisesti.

Miten lopettaa pinon vuotaminen

  1. Poista X-Powered-By kokonaan — se ei palvele mitään tarkoitusta kävijöille. (Yksi direktiivi PHP:ssä/kehyksessäsi tai otsakkeen poisto välityspalvelimella.)
  2. Yleistä Server — poista versio tai otsake verkkopalvelimellasi tai CDN:ssä.
  3. Pidä pino päivitettynä joka tapauksessa — version piilottaminen ostaa aikaa, se ei korvaa päivittämistä.
  4. Tarkista uudelleen varmistaaksesi, että otsakkeet ovat poissa.

Usein kysytyt kysymykset

Mikä on X-Powered-By-otsake? Vastausotsake, joka mainostaa sovelluskehystä ja usein sen tarkkaa versiota (esim. tietty PHP-versio). Se on valinnainen eikä tarjoa mitään hyötyä kävijöille — vain hyökkääjille. 8.1% sivustoista lähettää sellaisen.

Onko palvelinohjelmistoni paljastaminen haavoittuvuus? Ei sinänsä, mutta se on tietojen paljastamista: se antaa hyökkääjien suodattaa tunnettuja haavoittuvuuksia juuri sinun pinossasi ja versiossasi, vähentäen tiedustelun nollaan. Paras käytäntö on vaientaa se.

Pitäisikö minun piilottaa Server-otsake? Sen yleistäminen (version poistaminen) on hyvä käytäntö. Suurempi voitto on X-Powered-By -otsakkeen poistaminen ja ohjelmiston pitäminen päivitettynä.

Vahingoittaako tämä SEO:ta tai kävijöitä? Ei. Nämä otsakkeet ovat näkymättömiä käyttäjille ja merkityksettömiä hakukoneille. Niiden poistaminen on puhdasta hyötyä.

Tarkista, mitä otsakkeesi paljastavat

Näe tarkalleen, mitä sivustosi ilmoittaa — ja mitä poistaa — ilmaiseksi ja yksityisesti.

Tarkista verkkotunnuksesi → · HTTP-tietoturvaotsakkeiden raporttikortti → · Vain koottua dataa. Data tallennetaan ja käsitellään EU:ssa.