Defaults.Exposed › Rapporter
Vad dina serverrubriker berättar för angripare: rapporten om stackavslöjande (2026)
Publicerad 2026-06-29
Siffror per 2026-06-29 · metodik v7. Aggregerade folkräkningsdata från observerade HTTP-svarsrubriker (
Server,X-Powered-By). Se hur vi betygsätter.
Större delen av webben avslöjar frivilligt vad den kör: 71.4% av webbplatserna namnger sin webbserver i svarsrubrikerna, och 8.1% går längre och avslöjar sin applikationsstack — ofta med exakt version. Inget av detta krävs, och varje detalj är en gratis ledtråd för en angripare som bestämmer vad som ska attackeras. Versionsavslöjandet är det värsta: en rubrik som annonserar programvara som nått slutet av sin livscykel är en inbjudan.
Vad webben tillkännager
Rubriken Server namnger webbserverprogramvaran. Per 2026-06-29 är de vanligaste värdena bland de 71.4% av webbplatserna som skickar en:
| Server-rubrik | Andel webbplatser som skickar en |
|---|---|
| cloudflare | 21.7% |
| nginx | 16.0% |
| apache | 14.9% |
| openresty | 9.2% |
| squarespace | 4.9% |
Enbart servernamnet är lågrisk. Den verkliga exponeringen är X-Powered-By, som 8.1% av webbplatserna skickar — och som ofta innehåller en exakt version. De vanligaste värdena inkluderar asp.net och specifika PHP-byggen som php/7.4.33.
Varför versionsavslöjande spelar roll
En angripare som skannar internet efter en känd sårbarhet filtrerar på exakt dessa rubriker. En webbplats som annonserar php/7.4.33 — en PHP-version som nått slutet av sin livscykel och inte längre får säkerhetsuppdateringar — berättar för varje skanner att den kan vara exploaterbar, innan en enda sondering. Avslöjandet skapar inte sårbarheten, men det tar bort angriparens spaningskostnad och flyttar en ouppdaterad webbplats högst upp på listan.
Åtgärden är gratis och har ingen nackdel för besökare: undertryck eller generalisera dessa rubriker. Det finns ingen funktionell anledning att sända ut din stackversion till allmänheten.
Så slutar du läcka din stack
- Ta bort
X-Powered-Byhelt — den fyller ingen funktion för besökare. (Ett direktiv i PHP/ditt ramverk eller en rubrikborttagning vid proxyn.) - Generalisera
Server— ta bort versionen, eller rubriken, vid din webbserver eller CDN. - Håll stacken uppdaterad ändå — att dölja versionen köper tid, det ersätter inte uppdatering.
- Kontrollera igen för att bekräfta att rubrikerna är borta.
Vanliga frågor
Vad är rubriken X-Powered-By? En svarsrubrik som annonserar applikationens ramverk och ofta dess exakta version (t.ex. ett specifikt PHP-bygge). Den är valfri och ger ingen nytta för besökare — endast för angripare. 8.1% av webbplatserna skickar en.
Är det en sårbarhet att avslöja min serverprogramvara? Inte i sig, men det är informationsavslöjande: det låter angripare filtrera efter kända sårbarheter i just din stack och version, vilket reducerar deras spaning till noll. Bästa praxis är att undertrycka det.
Bör jag dölja Server-rubriken?
Att generalisera den (ta bort versionen) är god praxis. Den större vinsten är att ta bort X-Powered-By och hålla programvaran uppdaterad.
Skadar detta SEO eller besökare? Nej. Dessa rubriker är osynliga för användare och irrelevanta för sökmotorer. Att ta bort dem är bara fördelaktigt.
Kontrollera vad dina rubriker avslöjar
Se exakt vad din webbplats tillkännager — och vad du bör ta bort — gratis och privat.
Kontrollera din domän → · Betygsrapporten för HTTP-säkerhetsrubriker → · Endast aggregerade data. Data lagras och behandlas inom EU.