Defaults.Exposed

Defaults.Exposed › Rapporten

Wat uw serverheaders aanvallers vertellen: het rapport over stack-onthulling (2026)

Gepubliceerd 2026-06-29

Cijfers per 2026-06-29 · methodologie v7. Geaggregeerde censusgegevens uit waargenomen HTTP-responsheaders (Server, X-Powered-By). Zie hoe we beoordelen.

Het grootste deel van het web geeft vrijwillig prijs waarop het draait: 71,4% van de sites noemt hun webserver in de responsheaders, en 8,1% gaat verder en onthult hun applicatiestack — vaak met de exacte versie. Niets hiervan is verplicht, en elk detail is een gratis hint voor een aanvaller die bepaalt wat hij als doelwit kiest. Het prijsgeven van de versie is het ergst: een header die end-of-life-software adverteert, is een uitnodiging.

Wat het web aankondigt

De Server-header noemt de webserversoftware. Per 2026-06-29 zijn de meest voorkomende waarden onder de 71,4% van de sites die er een verzenden:

Server-headerAandeel van sites die er een verzenden
cloudflare21,7%
nginx16,0%
apache14,9%
openresty9,2%
squarespace4,9%

De servernaam alleen is laag risico. De echte blootstelling is X-Powered-By, die 8,1% van de sites verzendt — en die vaak een precieze versie bevat. De meest voorkomende waarden zijn onder meer asp.net en specifieke PHP-builds zoals php/7.4.33.

Waarom het prijsgeven van de versie ertoe doet

Een aanvaller die het internet afzoekt naar een bekende kwetsbaarheid filtert precies op deze headers. Een site die php/7.4.33 adverteert — een end-of-life PHP-versie die geen beveiligingspatches meer krijgt — vertelt elke scanner dat hij mogelijk te misbruiken is, nog vóór een enkele probe. Het prijsgeven creëert de kwetsbaarheid niet, maar het neemt de verkenningskosten van de aanvaller weg en schuift een ongepatchte site bovenaan de lijst.

De oplossing is gratis en heeft geen nadeel voor bezoekers: onderdruk deze headers of maak ze generiek. Er is geen functionele reden om je stackversie publiekelijk uit te zenden.

Hoe je stopt met je stack lekken

  1. Verwijder X-Powered-By volledig — het dient geen enkel doel voor bezoekers. (Eén directive in PHP/je framework of een header-strip bij de proxy.)
  2. Maak Server generiek — verwijder de versie, of de header, bij je webserver of CDN.
  3. Houd de stack hoe dan ook gepatcht — de versie verbergen wint tijd, het vervangt updaten niet.
  4. Controleer opnieuw om te bevestigen dat de headers weg zijn.

Veelgestelde vragen

Wat is de X-Powered-By-header? Een responsheader die het applicatieframework adverteert en vaak de exacte versie ervan (bijv. een specifieke PHP-build). Het is optioneel en biedt geen voordeel voor bezoekers — alleen voor aanvallers. 8,1% van de sites verzendt er een.

Is het onthullen van mijn serversoftware een kwetsbaarheid? Niet op zichzelf, maar het is informatieprijsgave: het stelt aanvallers in staat te filteren op bekende kwetsbaarheden in jouw specifieke stack en versie, waardoor hun verkenning tot nul wordt teruggebracht. Best practice is het te onderdrukken.

Moet ik de Server-header verbergen? Hem generiek maken (de versie weglaten) is een goede praktijk. De grotere winst is het verwijderen van X-Powered-By en het gepatcht houden van software.

Schaadt dit SEO of bezoekers? Nee. Deze headers zijn onzichtbaar voor gebruikers en irrelevant voor zoekmachines. Ze verwijderen is puur voordeel.

Controleer wat je headers onthullen

Bekijk precies wat je site aankondigt — en wat je moet verwijderen — gratis en privé.

Controleer je domein → · Het rapport over HTTP-beveiligingsheaders → · Alleen geaggregeerde gegevens. Gegevens opgeslagen en verwerkt in de EU.