Defaults.Exposed › Rapporter
Hva serverhodene dine forteller angripere: rapporten om stakkeksponering (2026)
Publisert 2026-06-29
Tall per 2026-06-29 · metodikk v7. Aggregerte folketellingsdata fra observerte HTTP-svarhoder (
Server,X-Powered-By). Se hvordan vi gir karakterer.
Mesteparten av nettet røper frivillig hva det kjører: 71.4% av nettstedene navngir webserveren sin i svarhodene, og 8.1% går lenger og avslører applikasjonsstakken sin — ofte med nøyaktig versjon. Ingenting av dette er påkrevd, og hver minste bit er et gratis hint til en angriper som bestemmer hva som skal angripes. Versjonsavsløring er det verste: et hode som annonserer programvare ved slutten av levetiden er en invitasjon.
Hva nettet kunngjør
Server-hodet navngir webserverprogramvaren. Per 2026-06-29 er de vanligste verdiene blant de 71.4% av nettstedene som sender ett:
| Server-hode | Andel av nettsteder som sender ett |
|---|---|
| cloudflare | 21.7% |
| nginx | 16.0% |
| apache | 14.9% |
| openresty | 9.2% |
| squarespace | 4.9% |
Servernavnet alene er lavrisiko. Den virkelige eksponeringen er X-Powered-By, som 8.1% av nettstedene sender — og som ofte inkluderer en presis versjon. De vanligste verdiene inkluderer asp.net og spesifikke PHP-byggene som php/7.4.33.
Hvorfor versjonsavsløring betyr noe
En angriper som skanner internett etter en kjent sårbarhet, filtrerer på akkurat disse hodene. Et nettsted som annonserer php/7.4.33 — en PHP-versjon ved slutten av levetiden som ikke lenger får sikkerhetsoppdateringer — forteller hver skanner at det kan være utnyttbart, før en eneste sondering. Avsløring skaper ikke sårbarheten, men den fjerner angriperens rekognoseringskostnad og flytter et uoppdatert nettsted til toppen av listen.
Løsningen er gratis og har ingen ulemper for besøkende: undertrykk eller generaliser disse hodene. Det finnes ingen funksjonell grunn til å kringkaste stakkversjonen din offentlig.
Hvordan slutte å lekke stakken din
- Fjern
X-Powered-Byhelt — det tjener ingen hensikt for besøkende. (Ett direktiv i PHP/rammeverket ditt eller en hode-stripping ved proxyen.) - Generaliser
Server— fjern versjonen, eller hodet, ved webserveren eller CDN-en din. - Hold stakken oppdatert uansett — å skjule versjonen kjøper tid, det erstatter ikke oppdatering.
- Sjekk på nytt for å bekrefte at hodene er borte.
Ofte stilte spørsmål
Hva er X-Powered-By-hodet? Et svarhode som annonserer applikasjonsrammeverket og ofte dets nøyaktige versjon (f.eks. et spesifikt PHP-bygg). Det er valgfritt og gir ingen fordel for besøkende — bare for angripere. 8.1% av nettstedene sender ett.
Er det å avsløre serverprogramvaren min en sårbarhet? Ikke i seg selv, men det er informasjonsavsløring: det lar angripere filtrere etter kjente sårbarheter i din spesifikke stakk og versjon, og kutter rekognoseringen deres til null. Beste praksis er å undertrykke det.
Bør jeg skjule Server-hodet?
Å generalisere det (fjerne versjonen) er god praksis. Den større gevinsten er å fjerne X-Powered-By og holde programvaren oppdatert.
Skader dette SEO eller besøkende? Nei. Disse hodene er usynlige for brukere og irrelevante for søkemotorer. Å fjerne dem er rent positivt.
Sjekk hva hodene dine avslører
Se nøyaktig hva nettstedet ditt kunngjør — og hva som bør fjernes — gratis og privat.
Sjekk domenet ditt → · Rapportkortet for HTTP-sikkerhetshoder → · Kun aggregerte data. Data lagret og behandlet i EU.