Defaults.Exposed

Defaults.Exposed › Report

Cosa rivelano gli header del tuo server agli attaccanti: il report sulla divulgazione dello stack (2026)

Pubblicato 2026-06-29

Dati al 2026-06-29 · metodologia v7. Dati di censimento aggregati da intestazioni di risposta HTTP osservate (Server, X-Powered-By). Vedi come assegniamo i voti.

La maggior parte del web rivela volontariamente ciò che esegue: il 71,4% dei siti nomina il proprio server web nelle intestazioni di risposta, e il 8,1% va oltre e rivela il proprio stack applicativo — spesso con la versione esatta. Nulla di tutto questo è obbligatorio, e ogni dettaglio è un indizio gratuito per un attaccante che decide cosa colpire. La divulgazione della versione è la cosa peggiore: un’intestazione che pubblicizza software a fine vita è un invito.

Cosa annuncia il web

L’intestazione Server nomina il software del server web. Al 2026-06-29, i valori più comuni tra il 71,4% dei siti che ne inviano una:

Intestazione ServerQuota di siti che ne inviano una
cloudflare21,7%
nginx16,0%
apache14,9%
openresty9,2%
squarespace4,9%

Il solo nome del server è a basso rischio. La vera esposizione è X-Powered-By, che il 8,1% dei siti invia — e che frequentemente include una versione precisa. I valori più comuni includono asp.net e build specifiche di PHP come php/7.4.33.

Perché la divulgazione della versione è importante

Un attaccante che scansiona internet alla ricerca di una vulnerabilità nota filtra esattamente per queste intestazioni. Un sito che pubblicizza php/7.4.33 — una versione di PHP a fine vita che non riceve più patch di sicurezza — sta dicendo a ogni scanner che potrebbe essere sfruttabile, prima ancora di una singola sonda. La divulgazione non crea la vulnerabilità, ma elimina il costo di ricognizione dell’attaccante e sposta un sito senza patch in cima alla lista.

La soluzione è gratuita e non ha alcuno svantaggio per i visitatori: sopprimi o rendi generiche queste intestazioni. Non c’è alcuna ragione funzionale per trasmettere pubblicamente la versione del tuo stack.

Come smettere di rivelare il tuo stack

  1. Rimuovi X-Powered-By completamente — non serve a nulla per i visitatori. (Una direttiva in PHP/nel tuo framework o una rimozione dell’intestazione a livello di proxy.)
  2. Rendi generico Server — togli la versione, o l’intestazione, sul tuo server web o CDN.
  3. Tieni comunque lo stack aggiornato — nascondere la versione fa guadagnare tempo, non sostituisce l’aggiornamento.
  4. Ricontrolla per confermare che le intestazioni siano sparite.

Domande frequenti

Cos’è l’intestazione X-Powered-By? Un’intestazione di risposta che pubblicizza il framework dell’applicazione e spesso la sua versione esatta (ad esempio una specifica build di PHP). È opzionale e non offre alcun beneficio ai visitatori — solo agli attaccanti. Il 8,1% dei siti ne invia una.

Rivelare il software del mio server è una vulnerabilità? Non di per sé, ma è divulgazione di informazioni: consente agli attaccanti di filtrare le vulnerabilità note nel tuo stack e nella tua versione specifici, riducendo a zero la loro ricognizione. La best practice è sopprimerla.

Dovrei nascondere l’intestazione Server? Renderla generica (togliendo la versione) è una buona pratica. Il guadagno maggiore è rimuovere X-Powered-By e mantenere il software aggiornato.

Questo danneggia la SEO o i visitatori? No. Queste intestazioni sono invisibili agli utenti e irrilevanti per i motori di ricerca. Rimuoverle è puro vantaggio.

Controlla cosa rivelano le tue intestazioni

Vedi esattamente cosa annuncia il tuo sito — e cosa rimuovere — gratis e in privato.

Controlla il tuo dominio → · La pagella delle intestazioni di sicurezza HTTP → · Solo dati aggregati. Dati archiviati ed elaborati nell’UE.