Defaults.Exposed

Defaults.Exposed › Poročila

Kaj vaše strežniške glave povedo napadalcem: poročilo o razkritju sklada (2026)

Objavljeno 2026-06-29

Podatki na dan 2026-06-29 · metodologija v7. Združeni popisni podatki iz opaženih glav odgovorov HTTP (Server, X-Powered-By). Oglejte si kako ocenjujemo.

Večina spleta prostovoljno razkrije, kaj poganja: 71.4% spletnih mest poimenuje svoj spletni strežnik v glavah odgovorov, 8.1% pa gre še dlje in razkrije svoj aplikacijski sklad — pogosto s točno različico. Nič od tega ni obvezno, in vsak delček tega je brezplačen namig napadalcu, ki se odloča, kaj naj napade. Razkritje različice je najhujše: glava, ki oglašuje programsko opremo ob koncu življenjske dobe, je vabilo.

Kaj splet oznanja

Glava Server poimenuje programsko opremo spletnega strežnika. Na dan 2026-06-29 so najpogostejše vrednosti med 71.4% spletnih mest, ki jo pošiljajo:

Glava ServerDelež spletnih mest, ki jo pošiljajo
cloudflare21.7%
nginx16.0%
apache14.9%
openresty9.2%
squarespace4.9%

Ime strežnika samo po sebi predstavlja nizko tveganje. Pravo izpostavljenost predstavlja X-Powered-By, ki jo pošilja 8.1% spletnih mest — in ki pogosto vključuje natančno različico. Najpogostejše vrednosti vključujejo asp.net in specifične gradnje PHP, kot je php/7.4.33.

Zakaj je razkritje različice pomembno

Napadalec, ki preiskuje internet za znano ranljivostjo, filtrira točno po teh glavah. Spletno mesto, ki oglašuje php/7.4.33različico PHP ob koncu življenjske dobe, ki ne prejema več varnostnih popravkov — vsakemu skenerju sporoča, da je morda izkoristljivo, še pred eno samo poizvedbo. Razkritje ne ustvari ranljivosti, vendar odpravi napadalčev strošek izvidovanja in premakne nepopravljeno spletno mesto na vrh seznama.

Popravek je brezplačen in nima nobene slabe strani za obiskovalce: zatrite ali posplošite te glave. Ni nobenega funkcionalnega razloga, da bi različico svojega sklada javno oddajali.

Kako ustaviti uhajanje vašega sklada

  1. V celoti odstranite X-Powered-By — za obiskovalce ne služi nobenemu namenu. (Ena direktiva v PHP/vašem ogrodju ali odstranitev glave na proxyju.)
  2. Posplošite Server — odstranite različico ali glavo na svojem spletnem strežniku ali CDN.
  3. Sklad vsekakor ohranjajte popravljen — skrivanje različice kupuje čas, ne nadomešča posodabljanja.
  4. Ponovno preverite, da potrdite, da so glave izginile.

Pogosto zastavljena vprašanja

Kaj je glava X-Powered-By? Glava odgovora, ki oglašuje aplikacijsko ogrodje in pogosto njegovo natančno različico (npr. specifično gradnjo PHP). Je neobvezna in obiskovalcem ne prinaša nobene koristi — le napadalcem. 8.1% spletnih mest jo pošilja.

Ali je razkritje moje strežniške programske opreme ranljivost? Sama po sebi ne, vendar gre za razkritje informacij: napadalcem omogoča filtriranje znanih ranljivosti v vašem specifičnem skladu in različici, s čimer njihovo izvidovanje zmanjša na nič. Najboljša praksa je, da ga zatrete.

Ali naj skrijem glavo Server? Njeno posploševanje (odstranitev različice) je dobra praksa. Večja zmaga je odstranitev X-Powered-By in ohranjanje popravljene programske opreme.

Ali to škoduje SEO ali obiskovalcem? Ne. Te glave so uporabnikom nevidne in za iskalnike nepomembne. Njihova odstranitev je zgolj v korist.

Preverite, kaj razkrivajo vaše glave

Oglejte si natančno, kaj vaše spletno mesto oznanja — in kaj odstraniti — brezplačno in zasebno.

Preverite svojo domeno → · Ocenjevalna kartica varnostnih glav HTTP → · Samo združeni podatki. Podatki shranjeni in obdelani v EU.