Defaults.Exposed

Defaults.Exposed › Raporlar

Sunucu Başlıklarınız Saldırganlara Neler Söylüyor: Yığın İfşa Raporu (2026)

Yayımlanma 2026-06-29

2026-06-29 itibarıyla rakamlar · metodoloji v7. Gözlemlenen HTTP yanıt başlıklarından (Server, X-Powered-By) toplanmış sayım verileri. Bkz. nasıl notlandırıyoruz.

Web’in büyük çoğunluğu neyi çalıştırdığını gönüllü olarak ele veriyor: sitelerin 71.4%‘i web sunucusunu yanıt başlıklarında adlandırıyor ve 8.1%‘i daha da ileri giderek uygulama yığınını — çoğu zaman tam sürümüyle birlikte — açığa çıkarıyor. Bunların hiçbiri zorunlu değil ve her bir parçası, neyi hedefleyeceğine karar veren bir saldırgan için bedava bir ipucu. Sürüm açıklaması en kötüsü: ömrünü tamamlamış bir yazılımın reklamını yapan bir başlık, açık bir davettir.

Web neyi duyuruyor

Server başlığı web sunucusu yazılımını adlandırır. 2026-06-29 itibarıyla, bunu gönderen sitelerin 71.4%‘i arasında en yaygın değerler:

Server başlığıBunu gönderen sitelerin payı
cloudflare21.7%
nginx16.0%
apache14.9%
openresty9.2%
squarespace4.9%

Sunucu adı tek başına düşük risklidir. Asıl maruziyet, sitelerin 8.1%‘inin gönderdiği X-Powered-By’dır — ve bu çoğu zaman kesin bir sürüm içerir. En yaygın değerler arasında asp.net ve php/7.4.33 gibi belirli PHP derlemeleri yer alır.

Sürüm açıklaması neden önemli

Bilinen bir güvenlik açığı için interneti tarayan bir saldırgan tam da bu başlıklara göre filtreler. php/7.4.33 reklamı yapan bir site — artık güvenlik yamaları almayan, ömrünü tamamlamış bir PHP sürümü — tek bir yoklama bile yapılmadan önce her tarayıcıya istismar edilebilir olabileceğini söylüyordur. Açıklama güvenlik açığını yaratmaz, ancak saldırganın keşif maliyetini ortadan kaldırır ve yamasız bir siteyi listenin en üstüne taşır.

Düzeltme bedavadır ve ziyaretçiler için hiçbir dezavantajı yoktur: bu başlıkları bastırın veya genelleştirin. Yığın sürümünüzü halka yayınlamanın işlevsel bir nedeni yoktur.

Yığınınızı sızdırmayı nasıl durdurursunuz

  1. X-Powered-By’ı tamamen kaldırın — ziyaretçiler için hiçbir amaca hizmet etmez. (PHP/çatınızda tek bir yönerge veya proxy’de bir başlık temizleme.)
  2. Server’ı genelleştirin — sürümü ya da başlığı web sunucunuzda veya CDN’inizde kaldırın.
  3. Yine de yığını yamalı tutun — sürümü gizlemek zaman kazandırır, güncellemenin yerini tutmaz.
  4. Yeniden kontrol edin ve başlıkların kaybolduğunu doğrulayın.

Sıkça sorulan sorular

X-Powered-By başlığı nedir? Uygulama çatısını ve çoğu zaman onun kesin sürümünü (örn. belirli bir PHP derlemesi) reklamını yapan bir yanıt başlığı. İsteğe bağlıdır ve ziyaretçilere hiçbir fayda sağlamaz — yalnızca saldırganlara. Sitelerin 8.1%‘i bunu gönderir.

Sunucu yazılımımı açığa vurmak bir güvenlik açığı mı? Tek başına değil, ama bir bilgi ifşasıdır: saldırganların sizin özel yığınınız ve sürümünüzdeki bilinen güvenlik açıklarına göre filtreleme yapmasına olanak tanır ve keşiflerini sıfıra indirir. En iyi uygulama onu bastırmaktır.

Server başlığını gizlemeli miyim? Onu genelleştirmek (sürümü çıkarmak) iyi bir uygulamadır. Daha büyük kazanç, X-Powered-By’ı kaldırmak ve yazılımı yamalı tutmaktır.

Bu SEO’ya veya ziyaretçilere zarar verir mi? Hayır. Bu başlıklar kullanıcılara görünmezdir ve arama motorları için önemsizdir. Onları kaldırmak tamamen avantajdır.

Başlıklarınızın neyi açığa çıkardığını kontrol edin

Sitenizin tam olarak neyi duyurduğunu — ve neyi temizlemeniz gerektiğini — ücretsiz ve gizli olarak görün.

Alan adınızı kontrol edin → · HTTP güvenlik başlıkları karnesi → · Yalnızca toplu veriler. Veriler AB’de saklanır ve işlenir.