Defaults.Exposed › Отчёты
Что заголовки вашего сервера сообщают злоумышленникам: отчёт о раскрытии стека (2026)
Опубликовано 2026-06-29
Данные по состоянию на 2026-06-29 · методология v7. Агрегированные данные переписи из наблюдаемых HTTP-заголовков ответа (
Server,X-Powered-By). См. как мы оцениваем.
Большая часть веба добровольно сообщает, на чём она работает: 71,4% сайтов называют свой веб-сервер в заголовках ответа, а 8,1% идут дальше и раскрывают свой стек приложений — часто с точной версией. Ничто из этого не обязательно, и каждая такая деталь — бесплатная подсказка для злоумышленника, решающего, что атаковать. Раскрытие версии — самое худшее: заголовок, рекламирующий программное обеспечение с истёкшим сроком поддержки, — это приглашение.
Что объявляет веб
Заголовок Server называет программное обеспечение веб-сервера. По состоянию на 2026-06-29 наиболее распространённые значения среди 71,4% сайтов, которые его отправляют:
| Заголовок Server | Доля сайтов, которые его отправляют |
|---|---|
| cloudflare | 21,7% |
| nginx | 16,0% |
| apache | 14,9% |
| openresty | 9,2% |
| squarespace | 4,9% |
Само по себе имя сервера малорискованно. Настоящая угроза — это X-Powered-By, который отправляют 8,1% сайтов — и который часто содержит точную версию. Среди наиболее распространённых значений — asp.net и конкретные сборки PHP, такие как php/7.4.33.
Почему раскрытие версии важно
Злоумышленник, сканирующий интернет в поисках известной уязвимости, фильтрует именно по этим заголовкам. Сайт, рекламирующий php/7.4.33 — версию PHP с истёкшим сроком поддержки, которая больше не получает обновлений безопасности, — сообщает каждому сканеру, что может быть уязвим, ещё до единственной попытки зондирования. Раскрытие не создаёт уязвимость, но оно устраняет затраты злоумышленника на разведку и перемещает необновлённый сайт в начало списка.
Исправление бесплатно и не имеет недостатков для посетителей: подавите или сделайте эти заголовки обобщёнными. Нет функциональной причины публично транслировать версию вашего стека.
Как перестать раскрывать свой стек
- Полностью удалите
X-Powered-By— он не служит никакой цели для посетителей. (Одна директива в PHP/вашем фреймворке или удаление заголовка на прокси.) - Сделайте
Serverобобщённым — удалите версию или сам заголовок на вашем веб-сервере или CDN. - В любом случае поддерживайте стек обновлённым — сокрытие версии выигрывает время, но не заменяет обновления.
- Перепроверьте, чтобы убедиться, что заголовки исчезли.
Часто задаваемые вопросы
Что такое заголовок X-Powered-By? Заголовок ответа, который рекламирует фреймворк приложения и часто его точную версию (например, конкретную сборку PHP). Он необязателен и не даёт никакой выгоды посетителям — только злоумышленникам. 8,1% сайтов его отправляют.
Является ли раскрытие моего серверного ПО уязвимостью? Само по себе нет, но это раскрытие информации: оно позволяет злоумышленникам фильтровать известные уязвимости в вашем конкретном стеке и версии, сводя их разведку к нулю. Лучшая практика — подавить его.
Стоит ли скрывать заголовок Server?
Сделать его обобщённым (убрав версию) — хорошая практика. Больший выигрыш — удаление X-Powered-By и поддержание ПО обновлённым.
Вредит ли это SEO или посетителям? Нет. Эти заголовки невидимы для пользователей и не имеют значения для поисковых систем. Их удаление — чистая выгода.
Проверьте, что раскрывают ваши заголовки
Узнайте точно, что объявляет ваш сайт — и что нужно убрать — бесплатно и конфиденциально.
Проверьте свой домен → · Табель оценок заголовков безопасности HTTP → · Только агрегированные данные. Данные хранятся и обрабатываются в ЕС.