Defaults.Exposed › รายงาน
สิ่งที่ Server Headers ของคุณบอกผู้โจมตี: รายงานการเปิดเผย Stack (2026)
เผยแพร่ 2026-06-29
ตัวเลข ณ วันที่ 2026-06-29 · วิธีการ v7 ข้อมูลสำมะโนรวมจาก HTTP response headers ที่สังเกต (
Server,X-Powered-By) ดู วิธีที่เราให้เกรด
เว็บส่วนใหญ่สมัครใจบอกสิ่งที่ใช้งาน: 71.4% ของเว็บไซต์ระบุชื่อ web server ของตนใน response headers และ 8.1% ไปต่อและเปิดเผย application stack ของตน — บ่อยครั้งพร้อมเวอร์ชันที่แน่ชัด ไม่มีสิ่งใดที่จำเป็น และทุกบิตเป็นคำใบ้ฟรีสำหรับผู้โจมตีที่ตัดสินใจว่าจะกำหนดเป้าหมายอะไร การเปิดเผยเวอร์ชันแย่ที่สุด: header ที่โฆษณาซอฟต์แวร์ end-of-life คือคำเชิญ
สิ่งที่เว็บประกาศ
Header Server ระบุชื่อซอฟต์แวร์ web server ณ วันที่ 2026-06-29 ค่าที่พบบ่อยที่สุดในบรรดา 71.4% ของเว็บไซต์ที่ส่งหนึ่ง:
| Server header | สัดส่วนของเว็บไซต์ที่ส่ง |
|---|---|
| cloudflare | 21.7% |
| nginx | 16.0% |
| apache | 14.9% |
| openresty | 9.2% |
| squarespace | 4.9% |
ชื่อเซิร์ฟเวอร์เพียงอย่างเดียวมีความเสี่ยงต่ำ การเปิดเผยที่แท้จริงคือ X-Powered-By ซึ่ง 8.1% ของเว็บไซต์ส่ง — และบ่อยครั้งมีเวอร์ชันที่แม่นยำ ค่าที่พบบ่อยที่สุดรวมถึง asp.net และ PHP builds ที่เฉพาะเจาะจงเช่น php/7.4.33
ทำไมการเปิดเผยเวอร์ชันจึงสำคัญ
ผู้โจมตีที่สแกนอินเทอร์เน็ตสำหรับช่องโหว่ที่รู้จักกรองโดย headers เหล่านี้อย่างแน่ชัด เว็บไซต์ที่โฆษณา php/7.4.33 — เวอร์ชัน PHP end-of-life ที่ไม่ได้รับ security patches อีกต่อไป — กำลังบอกทุก scanner ว่าอาจสามารถถูก exploit ได้ ก่อนที่จะมีการ probe เดียว การเปิดเผยไม่ได้สร้างช่องโหว่ แต่มันลดต้นทุนการลาดตระเวนของผู้โจมตีและย้ายเว็บไซต์ที่ไม่ได้ patch ไปอยู่ด้านบนของรายการ
การแก้ไขฟรีและไม่มีข้อเสียสำหรับผู้เยี่ยมชม: ระงับหรือทำให้ headers เหล่านี้ทั่วไป ไม่มีเหตุผลเชิงหน้าที่ที่จะออกอากาศเวอร์ชัน stack ของคุณต่อสาธารณะ
วิธีหยุดรั่วไหล stack ของคุณ
- ลบ
X-Powered-Byทั้งหมด — มันไม่มีจุดประสงค์สำหรับผู้เยี่ยมชม (คำสั่งเดียวใน PHP/framework ของคุณหรือ header-strip ที่ proxy) - ทำให้
Serverทั่วไป — ตัด version หรือ header ที่ web server หรือ CDN ของคุณ - เก็บ stack ให้ patch อยู่เสมอ โดยไม่คำนึง — การซ่อนเวอร์ชันซื้อเวลา มันไม่แทนที่การอัพเดต
- ตรวจสอบใหม่ เพื่อยืนยันว่า headers หายไปแล้ว
คำถามที่พบบ่อย
X-Powered-By header คืออะไร? Response header ที่โฆษณา application framework และบ่อยครั้งเวอร์ชันที่แน่ชัด (เช่น PHP build ที่เฉพาะเจาะจง) มันเป็นตัวเลือกและไม่ให้ประโยชน์ต่อผู้เยี่ยมชม — เฉพาะผู้โจมตี 8.1% ของเว็บไซต์ส่งหนึ่ง
การเปิดเผยซอฟต์แวร์ server ของฉันเป็นช่องโหว่หรือไม่? ไม่โดยตัวมันเอง แต่มันเป็นการเปิดเผยข้อมูล: มันให้ผู้โจมตีกรองช่องโหว่ที่รู้จักใน stack และเวอร์ชันที่เฉพาะเจาะจงของคุณ ตัดการลาดตระเวนให้เป็นศูนย์ Best practice คือการระงับมัน
ฉันควรซ่อน Server header หรือไม่?
การทำให้มันทั่วไป (ทิ้งเวอร์ชัน) คือ best practice ชัยชนะที่ใหญ่กว่าคือการลบ X-Powered-By และเก็บซอฟต์แวร์ให้ patch อยู่
สิ่งนี้กระทบ SEO หรือผู้เยี่ยมชมหรือไม่? ไม่ Headers เหล่านี้ล่องหนต่อผู้ใช้และไม่เกี่ยวข้องกับ search engines การลบพวกเขาเป็นผลบวกล้วนๆ
ตรวจสอบสิ่งที่ headers ของคุณเปิดเผย
ดูอย่างแน่ชัดว่าเว็บไซต์ของคุณประกาศอะไร — และสิ่งที่ต้อง strip — ฟรีและส่วนตัว
ตรวจสอบโดเมนของคุณ → · รายงานบัตรคะแนน HTTP security header → · ข้อมูลรวมเท่านั้น ข้อมูลจัดเก็บและประมวลผลในสหภาพยุโรป