Defaults.Exposed › דוחות
מה כותרות השרת שלכם מספרות לתוקפים: דוח חשיפת המחסנית (2026)
פורסם 2026-06-29
נתונים נכון ל-2026-06-29 · מתודולוגיה v7. נתוני מפקד מצרפיים מכותרות תגובת HTTP שנצפו (
Server,X-Powered-By). ראו כיצד אנו מדרגים.
רוב הרשת חושפת מרצונה מה היא מריצה: 71.4% מהאתרים נוקבים בשם שרת האינטרנט שלהם בכותרות התגובה, ו-8.1% הולכים רחוק יותר וחושפים את מחסנית האפליקציה שלהם — לעיתים קרובות עם הגרסה המדויקת. דבר מכל אלה אינו נדרש, וכל פיסה ממנו היא רמז חינמי לתוקף שמחליט במה לפגוע. חשיפת הגרסה היא הגרועה ביותר: כותרת שמפרסמת תוכנה שהגיעה לסוף חייה היא הזמנה.
מה הרשת מכריזה
הכותרת Server נוקבת בשם תוכנת שרת האינטרנט. נכון ל-2026-06-29, הערכים הנפוצים ביותר בקרב 71.4% מהאתרים ששולחים אחת:
| כותרת Server | חלק מהאתרים ששולחים אחת |
|---|---|
| cloudflare | 21.7% |
| nginx | 16.0% |
| apache | 14.9% |
| openresty | 9.2% |
| squarespace | 4.9% |
שם השרת לבדו הוא בעל סיכון נמוך. החשיפה האמיתית היא X-Powered-By, ש-8.1% מהאתרים שולחים — ושלעיתים קרובות כוללת גרסה מדויקת. הערכים הנפוצים ביותר כוללים את asp.net ובנייות PHP ספציפיות כמו php/7.4.33.
מדוע חשיפת גרסה חשובה
תוקף הסורק את האינטרנט בחיפוש פרצה ידועה מסנן בדיוק לפי כותרות אלה. אתר שמפרסם php/7.4.33 — גרסת PHP שהגיעה לסוף חייה ושכבר אינה מקבלת תיקוני אבטחה — אומר לכל סורק שייתכן שהוא ניתן לניצול, עוד לפני בדיקה אחת. החשיפה אינה יוצרת את הפרצה, אך היא מסירה את עלות הסיור של התוקף ומעבירה אתר לא מתוקן לראש הרשימה.
התיקון חינמי ואין לו כל חיסרון למבקרים: דכאו או הכלילו את הכותרות הללו. אין שום סיבה פונקציונלית לשדר את גרסת המחסנית שלכם לציבור.
כיצד להפסיק לדלוף את המחסנית שלכם
- הסירו את
X-Powered-Byלחלוטין — היא אינה משרתת שום מטרה למבקרים. (הוראה אחת ב-PHP/בפריימוורק שלכם או הסרת כותרת בפרוקסי.) - הכלילו את
Server— הסירו את הגרסה, או את הכותרת, בשרת האינטרנט או ב-CDN שלכם. - שמרו על המחסנית מתוקנת בכל מקרה — הסתרת הגרסה קונה זמן, היא אינה מחליפה עדכון.
- בדקו מחדש כדי לוודא שהכותרות נעלמו.
שאלות נפוצות
מהי כותרת X-Powered-By? כותרת תגובה שמפרסמת את פריימוורק האפליקציה ולעיתים קרובות את גרסתו המדויקת (למשל בניית PHP ספציפית). היא אופציונלית ואינה מספקת תועלת למבקרים — רק לתוקפים. 8.1% מהאתרים שולחים אחת.
האם חשיפת תוכנת השרת שלי היא פרצה? לא בפני עצמה, אך זוהי חשיפת מידע: היא מאפשרת לתוקפים לסנן פרצות ידועות במחסנית ובגרסה הספציפית שלכם, ומצמצמת את הסיור שלהם לאפס. שיטת העבודה המומלצת היא לדכא אותה.
האם עליי להסתיר את כותרת Server?
הכללתה (הסרת הגרסה) היא שיטת עבודה טובה. הניצחון הגדול יותר הוא הסרת X-Powered-By ושמירה על תוכנה מתוקנת.
האם זה פוגע ב-SEO או במבקרים? לא. כותרות אלה בלתי נראות למשתמשים ואינן רלוונטיות למנועי חיפוש. הסרתן היא תועלת בלבד.
בדקו מה הכותרות שלכם חושפות
ראו בדיוק מה האתר שלכם מכריז — ומה להסיר — חינם ובאופן פרטי.
בדקו את הדומיין שלכם → · תעודת הדירוג של כותרות אבטחת HTTP → · נתונים מצרפיים בלבד. הנתונים מאוחסנים ומעובדים באיחוד האירופי.