Defaults.Exposed

Defaults.Exposed › Отчёты

Что заголовки вашего сервера сообщают злоумышленникам: отчёт о раскрытии стека (2026)

Опубликовано 2026-06-29

Данные по состоянию на 2026-06-29 · методология v7. Агрегированные данные переписи из наблюдаемых HTTP-заголовков ответа (Server, X-Powered-By). См. как мы оцениваем.

Большая часть веба добровольно сообщает, на чём она работает: 71,4% сайтов называют свой веб-сервер в заголовках ответа, а 8,1% идут дальше и раскрывают свой стек приложений — часто с точной версией. Ничто из этого не обязательно, и каждая такая деталь — бесплатная подсказка для злоумышленника, решающего, что атаковать. Раскрытие версии — самое худшее: заголовок, рекламирующий программное обеспечение с истёкшим сроком поддержки, — это приглашение.

Что объявляет веб

Заголовок Server называет программное обеспечение веб-сервера. По состоянию на 2026-06-29 наиболее распространённые значения среди 71,4% сайтов, которые его отправляют:

Заголовок ServerДоля сайтов, которые его отправляют
cloudflare21,7%
nginx16,0%
apache14,9%
openresty9,2%
squarespace4,9%

Само по себе имя сервера малорискованно. Настоящая угроза — это X-Powered-By, который отправляют 8,1% сайтов — и который часто содержит точную версию. Среди наиболее распространённых значений — asp.net и конкретные сборки PHP, такие как php/7.4.33.

Почему раскрытие версии важно

Злоумышленник, сканирующий интернет в поисках известной уязвимости, фильтрует именно по этим заголовкам. Сайт, рекламирующий php/7.4.33версию PHP с истёкшим сроком поддержки, которая больше не получает обновлений безопасности, — сообщает каждому сканеру, что может быть уязвим, ещё до единственной попытки зондирования. Раскрытие не создаёт уязвимость, но оно устраняет затраты злоумышленника на разведку и перемещает необновлённый сайт в начало списка.

Исправление бесплатно и не имеет недостатков для посетителей: подавите или сделайте эти заголовки обобщёнными. Нет функциональной причины публично транслировать версию вашего стека.

Как перестать раскрывать свой стек

  1. Полностью удалите X-Powered-By — он не служит никакой цели для посетителей. (Одна директива в PHP/вашем фреймворке или удаление заголовка на прокси.)
  2. Сделайте Server обобщённым — удалите версию или сам заголовок на вашем веб-сервере или CDN.
  3. В любом случае поддерживайте стек обновлённым — сокрытие версии выигрывает время, но не заменяет обновления.
  4. Перепроверьте, чтобы убедиться, что заголовки исчезли.

Часто задаваемые вопросы

Что такое заголовок X-Powered-By? Заголовок ответа, который рекламирует фреймворк приложения и часто его точную версию (например, конкретную сборку PHP). Он необязателен и не даёт никакой выгоды посетителям — только злоумышленникам. 8,1% сайтов его отправляют.

Является ли раскрытие моего серверного ПО уязвимостью? Само по себе нет, но это раскрытие информации: оно позволяет злоумышленникам фильтровать известные уязвимости в вашем конкретном стеке и версии, сводя их разведку к нулю. Лучшая практика — подавить его.

Стоит ли скрывать заголовок Server? Сделать его обобщённым (убрав версию) — хорошая практика. Больший выигрыш — удаление X-Powered-By и поддержание ПО обновлённым.

Вредит ли это SEO или посетителям? Нет. Эти заголовки невидимы для пользователей и не имеют значения для поисковых систем. Их удаление — чистая выгода.

Проверьте, что раскрывают ваши заголовки

Узнайте точно, что объявляет ваш сайт — и что нужно убрать — бесплатно и конфиденциально.

Проверьте свой домен → · Табель оценок заголовков безопасности HTTP → · Только агрегированные данные. Данные хранятся и обрабатываются в ЕС.