Defaults.Exposed › Ataskaitos
Ką jūsų serverio antraštės pasako užpuolikams: technologijų atskleidimo ataskaita (2026)
Paskelbta 2026-06-29
Duomenys 2026-06-29 dienai · metodologija v7. Apibendrinti surašymo duomenys iš stebėtų HTTP atsako antraščių (
Server,X-Powered-By). Žiūrėkite kaip vertiname.
Didžioji žiniatinklio dalis savanoriškai atskleidžia, ką ji naudoja: 71.4% svetainių atsako antraštėse įvardija savo žiniatinklio serverį, o 8.1% eina dar toliau ir atskleidžia savo programų dėklą — dažnai su tikslia versija. Nieko iš to nereikalaujama, ir kiekviena dalelė yra nemokama užuomina užpuolikui, sprendžiančiam, ką pulti. Versijos atskleidimas yra blogiausia: antraštė, reklamuojanti gyvavimo ciklo pabaigą pasiekusią programinę įrangą, yra kvietimas.
Ką žiniatinklis skelbia
Antraštė Server įvardija žiniatinklio serverio programinę įrangą. 2026-06-29 dienai dažniausios reikšmės tarp 71.4% svetainių, kurios ją siunčia:
| Antraštė Server | Dalis svetainių, kurios ją siunčia |
|---|---|
| cloudflare | 21.7% |
| nginx | 16.0% |
| apache | 14.9% |
| openresty | 9.2% |
| squarespace | 4.9% |
Vien serverio pavadinimas yra mažos rizikos. Tikrasis atskleidimas yra X-Powered-By, kurią siunčia 8.1% svetainių — ir kuri dažnai apima tikslią versiją. Dažniausios reikšmės apima asp.net ir specifines PHP versijas, tokias kaip php/7.4.33.
Kodėl versijos atskleidimas svarbus
Užpuolikas, nuskaitantis internetą ieškodamas žinomos pažeidžiamybės, filtruoja būtent pagal šias antraštes. Svetainė, reklamuojanti php/7.4.33 — gyvavimo ciklo pabaigą pasiekusią PHP versiją, kuri nebegauna saugumo pataisymų — praneša kiekvienam skaitytuvui, kad ji gali būti pažeidžiama, dar prieš vieną zondavimą. Atskleidimas nesukuria pažeidžiamybės, bet pašalina užpuoliko žvalgybos sąnaudas ir perkelia nepataisytą svetainę į sąrašo viršų.
Pataisymas yra nemokamas ir neturi jokių trūkumų lankytojams: nuslopinkite arba apibendrinkite šias antraštes. Nėra jokios funkcinės priežasties viešai transliuoti savo dėklo versiją.
Kaip sustabdyti dėklo nutekėjimą
- Visiškai pašalinkite
X-Powered-By— lankytojams ji neturi jokios paskirties. (Viena direktyva PHP/jūsų karkase arba antraštės pašalinimas tarpiniame serveryje.) - Apibendrinkite
Server— pašalinkite versiją arba antraštę savo žiniatinklio serveryje ar CDN. - Bet kuriuo atveju laikykite dėklą pataisytą — versijos slėpimas perka laiko, jis nepakeičia atnaujinimo.
- Pertikrinkite, kad patvirtintumėte, jog antraštės dingo.
Dažnai užduodami klausimai
Kas yra X-Powered-By antraštė? Atsako antraštė, kuri reklamuoja programos karkasą ir dažnai tikslią jo versiją (pvz., specifinę PHP versiją). Ji neprivaloma ir neteikia jokios naudos lankytojams — tik užpuolikams. 8.1% svetainių ją siunčia.
Ar mano serverio programinės įrangos atskleidimas yra pažeidžiamybė? Pati savaime ne, bet tai yra informacijos atskleidimas: tai leidžia užpuolikams filtruoti žinomas pažeidžiamybes jūsų konkrečiame dėkle ir versijoje, sumažinant jų žvalgybą iki nulio. Geriausia praktika yra ją nuslopinti.
Ar turėčiau paslėpti Server antraštę?
Jos apibendrinimas (versijos pašalinimas) yra gera praktika. Didesnis laimėjimas yra X-Powered-By pašalinimas ir programinės įrangos laikymas pataisytos.
Ar tai kenkia SEO ar lankytojams? Ne. Šios antraštės yra nematomos naudotojams ir nereikšmingos paieškos sistemoms. Jų pašalinimas yra vien tik nauda.
Patikrinkite, ką atskleidžia jūsų antraštės
Pamatykite tiksliai, ką jūsų svetainė skelbia — ir ką pašalinti — nemokamai ir privačiai.
Patikrinkite savo domeną → · HTTP saugumo antraščių ataskaitos kortelė → · Tik apibendrinti duomenys. Duomenys saugomi ir apdorojami ES.