Defaults.Exposed

Defaults.Exposed › Laporan

Apa yang Diungkap Header Server Anda kepada Penyerang: Laporan Pembocoran Tumpukan (2026)

Diterbitkan 2026-06-29

Angka per 2026-06-29 · metodologi v7. Data sensus agregat dari header respons HTTP yang teramati (Server, X-Powered-By). Lihat bagaimana kami menilai.

Sebagian besar web secara sukarela mengungkapkan apa yang dijalankannya: 71.4% situs menyebutkan server web mereka di header respons, dan 8.1% melangkah lebih jauh dengan mengungkapkan tumpukan aplikasi mereka — sering kali dengan versi yang tepat. Tidak satu pun dari ini diwajibkan, dan setiap potongnya adalah petunjuk gratis bagi penyerang yang sedang memutuskan apa yang akan disasar. Pengungkapan versi adalah yang terburuk: sebuah header yang mengiklankan perangkat lunak yang sudah habis masa pakainya adalah sebuah undangan.

Apa yang diumumkan web

Header Server menyebutkan perangkat lunak server web. Per 2026-06-29, nilai paling umum di antara 71.4% situs yang mengirimkannya:

Header ServerPorsi situs yang mengirimkannya
cloudflare21.7%
nginx16.0%
apache14.9%
openresty9.2%
squarespace4.9%

Nama server saja berisiko rendah. Paparan yang sebenarnya adalah X-Powered-By, yang dikirim oleh 8.1% situs — dan yang sering kali menyertakan versi yang presisi. Nilai paling umum mencakup asp.net serta build PHP tertentu seperti php/7.4.33.

Mengapa pengungkapan versi penting

Penyerang yang memindai internet untuk mencari kerentanan yang diketahui menyaring tepat berdasarkan header-header ini. Sebuah situs yang mengiklankan php/7.4.33 — sebuah versi PHP yang sudah habis masa pakainya dan tidak lagi mendapat patch keamanan — memberi tahu setiap pemindai bahwa situs itu mungkin dapat dieksploitasi, bahkan sebelum satu pun penyelidikan dilakukan. Pengungkapan tidak menciptakan kerentanan, tetapi menghapus biaya pengintaian penyerang dan mendorong situs yang belum dipatch ke puncak daftar.

Perbaikannya gratis dan tidak ada kerugiannya bagi pengunjung: tekan atau buat generik header-header ini. Tidak ada alasan fungsional untuk menyiarkan versi tumpukan Anda kepada publik.

Cara berhenti membocorkan tumpukan Anda

  1. Hapus X-Powered-By sepenuhnya — ia tidak berguna bagi pengunjung. (Satu direktif di PHP/kerangka kerja Anda atau penghapusan header di proksi.)
  2. Buat Server generik — buang versinya, atau header-nya, di server web atau CDN Anda.
  3. Tetap patch tumpukan Anda bagaimanapun juga — menyembunyikan versi membeli waktu, bukan menggantikan pembaruan.
  4. Periksa ulang untuk memastikan header-header itu sudah hilang.

Pertanyaan yang sering diajukan

Apa itu header X-Powered-By? Sebuah header respons yang mengiklankan kerangka kerja aplikasi dan sering kali versi tepatnya (mis. build PHP tertentu). Ia bersifat opsional dan tidak memberi manfaat bagi pengunjung — hanya bagi penyerang. 8.1% situs mengirimkannya.

Apakah mengungkapkan perangkat lunak server saya merupakan kerentanan? Tidak dengan sendirinya, tetapi ini adalah pengungkapan informasi: ini memungkinkan penyerang menyaring kerentanan yang diketahui pada tumpukan dan versi spesifik Anda, memangkas pengintaian mereka menjadi nol. Praktik terbaik adalah menekannya.

Haruskah saya menyembunyikan header Server? Membuatnya generik (membuang versi) adalah praktik yang baik. Keuntungan yang lebih besar adalah menghapus X-Powered-By dan menjaga perangkat lunak tetap dipatch.

Apakah ini merugikan SEO atau pengunjung? Tidak. Header-header ini tak terlihat oleh pengguna dan tidak relevan bagi mesin pencari. Menghapusnya murni menguntungkan.

Periksa apa yang diungkapkan header Anda

Lihat persis apa yang diumumkan situs Anda — dan apa yang harus dihapus — gratis dan privat.

Periksa domain Anda → · Rapor header keamanan HTTP → · Hanya data agregat. Data disimpan dan diproses di UE.