Defaults.Exposed › Relatórios
O Que os Cabeçalhos do Seu Servidor Revelam aos Atacantes: O Relatório de Divulgação da Stack (2026)
Publicado 2026-06-29
Números a partir de 2026-06-29 · metodologia v7. Dados agregados de censo a partir de cabeçalhos de resposta HTTP observados (
Server,X-Powered-By). Veja como classificamos.
A maior parte da web revela voluntariamente o que está a executar: 71,4% dos sites nomeiam o seu servidor web nos cabeçalhos de resposta, e 8,1% vão mais longe e revelam a sua pilha de aplicação — muitas vezes com a versão exata. Nada disto é obrigatório, e cada detalhe é uma pista gratuita para um atacante a decidir o que atacar. A divulgação da versão é o pior: um cabeçalho que anuncia software em fim de vida é um convite.
O que a web anuncia
O cabeçalho Server nomeia o software do servidor web. A partir de 2026-06-29, os valores mais comuns entre os 71,4% dos sites que enviam um:
| Cabeçalho Server | Percentagem de sites que enviam um |
|---|---|
| cloudflare | 21,7% |
| nginx | 16,0% |
| apache | 14,9% |
| openresty | 9,2% |
| squarespace | 4,9% |
O nome do servidor por si só é de baixo risco. A verdadeira exposição é o X-Powered-By, que 8,1% dos sites enviam — e que frequentemente inclui uma versão precisa. Os valores mais comuns incluem asp.net e builds específicos de PHP como php/7.4.33.
Por que a divulgação da versão importa
Um atacante que vasculha a internet à procura de uma vulnerabilidade conhecida filtra exatamente por estes cabeçalhos. Um site que anuncia php/7.4.33 — uma versão de PHP em fim de vida que já não recebe correções de segurança — está a dizer a cada scanner que pode ser explorável, antes de uma única sondagem. A divulgação não cria a vulnerabilidade, mas remove o custo de reconhecimento do atacante e move um site sem correções para o topo da lista.
A solução é gratuita e não tem nenhuma desvantagem para os visitantes: suprima ou torne genéricos estes cabeçalhos. Não há nenhuma razão funcional para difundir a versão da sua pilha ao público.
Como parar de vazar a sua pilha
- Remova o
X-Powered-Bypor completo — não serve qualquer propósito para os visitantes. (Uma diretiva no PHP/no seu framework ou um corte de cabeçalho no proxy.) - Torne o
Servergenérico — retire a versão, ou o cabeçalho, no seu servidor web ou CDN. - Mantenha a pilha corrigida de qualquer forma — ocultar a versão ganha tempo, não substitui a atualização.
- Verifique novamente para confirmar que os cabeçalhos desapareceram.
Perguntas frequentes
O que é o cabeçalho X-Powered-By? Um cabeçalho de resposta que anuncia o framework da aplicação e, muitas vezes, a sua versão exata (por exemplo, um build específico de PHP). É opcional e não traz qualquer benefício aos visitantes — apenas aos atacantes. 8,1% dos sites enviam um.
Revelar o software do meu servidor é uma vulnerabilidade? Não por si só, mas é divulgação de informação: permite aos atacantes filtrar vulnerabilidades conhecidas na sua pilha e versão específicas, reduzindo o seu reconhecimento a zero. A melhor prática é suprimi-lo.
Devo ocultar o cabeçalho Server?
Torná-lo genérico (retirar a versão) é uma boa prática. O maior ganho é remover o X-Powered-By e manter o software corrigido.
Isto prejudica o SEO ou os visitantes? Não. Estes cabeçalhos são invisíveis para os utilizadores e irrelevantes para os motores de busca. Removê-los é puramente vantajoso.
Verifique o que os seus cabeçalhos revelam
Veja exatamente o que o seu site anuncia — e o que deve retirar — de forma gratuita e privada.
Verifique o seu domínio → · O boletim de classificação dos cabeçalhos de segurança HTTP → · Apenas dados agregados. Dados armazenados e processados na UE.