Defaults.Exposed › Report
Cosa rivelano gli header del tuo server agli attaccanti: il report sulla divulgazione dello stack (2026)
Pubblicato 2026-06-29
Dati al 2026-06-29 · metodologia v7. Dati di censimento aggregati da intestazioni di risposta HTTP osservate (
Server,X-Powered-By). Vedi come assegniamo i voti.
La maggior parte del web rivela volontariamente ciò che esegue: il 71,4% dei siti nomina il proprio server web nelle intestazioni di risposta, e il 8,1% va oltre e rivela il proprio stack applicativo — spesso con la versione esatta. Nulla di tutto questo è obbligatorio, e ogni dettaglio è un indizio gratuito per un attaccante che decide cosa colpire. La divulgazione della versione è la cosa peggiore: un’intestazione che pubblicizza software a fine vita è un invito.
Cosa annuncia il web
L’intestazione Server nomina il software del server web. Al 2026-06-29, i valori più comuni tra il 71,4% dei siti che ne inviano una:
| Intestazione Server | Quota di siti che ne inviano una |
|---|---|
| cloudflare | 21,7% |
| nginx | 16,0% |
| apache | 14,9% |
| openresty | 9,2% |
| squarespace | 4,9% |
Il solo nome del server è a basso rischio. La vera esposizione è X-Powered-By, che il 8,1% dei siti invia — e che frequentemente include una versione precisa. I valori più comuni includono asp.net e build specifiche di PHP come php/7.4.33.
Perché la divulgazione della versione è importante
Un attaccante che scansiona internet alla ricerca di una vulnerabilità nota filtra esattamente per queste intestazioni. Un sito che pubblicizza php/7.4.33 — una versione di PHP a fine vita che non riceve più patch di sicurezza — sta dicendo a ogni scanner che potrebbe essere sfruttabile, prima ancora di una singola sonda. La divulgazione non crea la vulnerabilità, ma elimina il costo di ricognizione dell’attaccante e sposta un sito senza patch in cima alla lista.
La soluzione è gratuita e non ha alcuno svantaggio per i visitatori: sopprimi o rendi generiche queste intestazioni. Non c’è alcuna ragione funzionale per trasmettere pubblicamente la versione del tuo stack.
Come smettere di rivelare il tuo stack
- Rimuovi
X-Powered-Bycompletamente — non serve a nulla per i visitatori. (Una direttiva in PHP/nel tuo framework o una rimozione dell’intestazione a livello di proxy.) - Rendi generico
Server— togli la versione, o l’intestazione, sul tuo server web o CDN. - Tieni comunque lo stack aggiornato — nascondere la versione fa guadagnare tempo, non sostituisce l’aggiornamento.
- Ricontrolla per confermare che le intestazioni siano sparite.
Domande frequenti
Cos’è l’intestazione X-Powered-By? Un’intestazione di risposta che pubblicizza il framework dell’applicazione e spesso la sua versione esatta (ad esempio una specifica build di PHP). È opzionale e non offre alcun beneficio ai visitatori — solo agli attaccanti. Il 8,1% dei siti ne invia una.
Rivelare il software del mio server è una vulnerabilità? Non di per sé, ma è divulgazione di informazioni: consente agli attaccanti di filtrare le vulnerabilità note nel tuo stack e nella tua versione specifici, riducendo a zero la loro ricognizione. La best practice è sopprimerla.
Dovrei nascondere l’intestazione Server?
Renderla generica (togliendo la versione) è una buona pratica. Il guadagno maggiore è rimuovere X-Powered-By e mantenere il software aggiornato.
Questo danneggia la SEO o i visitatori? No. Queste intestazioni sono invisibili agli utenti e irrilevanti per i motori di ricerca. Rimuoverle è puro vantaggio.
Controlla cosa rivelano le tue intestazioni
Vedi esattamente cosa annuncia il tuo sito — e cosa rimuovere — gratis e in privato.
Controlla il tuo dominio → · La pagella delle intestazioni di sicurezza HTTP → · Solo dati aggregati. Dati archiviati ed elaborati nell’UE.