Defaults.Exposed

Defaults.Exposed › Relatórios

O Que os Cabeçalhos do Seu Servidor Revelam aos Atacantes: O Relatório de Divulgação da Stack (2026)

Publicado 2026-06-29

Números a partir de 2026-06-29 · metodologia v7. Dados agregados de censo a partir de cabeçalhos de resposta HTTP observados (Server, X-Powered-By). Veja como classificamos.

A maior parte da web revela voluntariamente o que está a executar: 71,4% dos sites nomeiam o seu servidor web nos cabeçalhos de resposta, e 8,1% vão mais longe e revelam a sua pilha de aplicação — muitas vezes com a versão exata. Nada disto é obrigatório, e cada detalhe é uma pista gratuita para um atacante a decidir o que atacar. A divulgação da versão é o pior: um cabeçalho que anuncia software em fim de vida é um convite.

O que a web anuncia

O cabeçalho Server nomeia o software do servidor web. A partir de 2026-06-29, os valores mais comuns entre os 71,4% dos sites que enviam um:

Cabeçalho ServerPercentagem de sites que enviam um
cloudflare21,7%
nginx16,0%
apache14,9%
openresty9,2%
squarespace4,9%

O nome do servidor por si só é de baixo risco. A verdadeira exposição é o X-Powered-By, que 8,1% dos sites enviam — e que frequentemente inclui uma versão precisa. Os valores mais comuns incluem asp.net e builds específicos de PHP como php/7.4.33.

Por que a divulgação da versão importa

Um atacante que vasculha a internet à procura de uma vulnerabilidade conhecida filtra exatamente por estes cabeçalhos. Um site que anuncia php/7.4.33 — uma versão de PHP em fim de vida que já não recebe correções de segurança — está a dizer a cada scanner que pode ser explorável, antes de uma única sondagem. A divulgação não cria a vulnerabilidade, mas remove o custo de reconhecimento do atacante e move um site sem correções para o topo da lista.

A solução é gratuita e não tem nenhuma desvantagem para os visitantes: suprima ou torne genéricos estes cabeçalhos. Não há nenhuma razão funcional para difundir a versão da sua pilha ao público.

Como parar de vazar a sua pilha

  1. Remova o X-Powered-By por completo — não serve qualquer propósito para os visitantes. (Uma diretiva no PHP/no seu framework ou um corte de cabeçalho no proxy.)
  2. Torne o Server genérico — retire a versão, ou o cabeçalho, no seu servidor web ou CDN.
  3. Mantenha a pilha corrigida de qualquer forma — ocultar a versão ganha tempo, não substitui a atualização.
  4. Verifique novamente para confirmar que os cabeçalhos desapareceram.

Perguntas frequentes

O que é o cabeçalho X-Powered-By? Um cabeçalho de resposta que anuncia o framework da aplicação e, muitas vezes, a sua versão exata (por exemplo, um build específico de PHP). É opcional e não traz qualquer benefício aos visitantes — apenas aos atacantes. 8,1% dos sites enviam um.

Revelar o software do meu servidor é uma vulnerabilidade? Não por si só, mas é divulgação de informação: permite aos atacantes filtrar vulnerabilidades conhecidas na sua pilha e versão específicas, reduzindo o seu reconhecimento a zero. A melhor prática é suprimi-lo.

Devo ocultar o cabeçalho Server? Torná-lo genérico (retirar a versão) é uma boa prática. O maior ganho é remover o X-Powered-By e manter o software corrigido.

Isto prejudica o SEO ou os visitantes? Não. Estes cabeçalhos são invisíveis para os utilizadores e irrelevantes para os motores de busca. Removê-los é puramente vantajoso.

Verifique o que os seus cabeçalhos revelam

Veja exatamente o que o seu site anuncia — e o que deve retirar — de forma gratuita e privada.

Verifique o seu domínio → · O boletim de classificação dos cabeçalhos de segurança HTTP → · Apenas dados agregados. Dados armazenados e processados na UE.