Defaults.Exposed

Defaults.Exposed › Звіти

Що заголовки вашого сервера повідомляють зловмисникам: звіт про розкриття стека (2026)

Опубліковано 2026-06-29

Дані станом на 2026-06-29 · методологія v7. Агреговані дані перепису зі спостережених заголовків HTTP-відповідей (Server, X-Powered-By). Дивіться як ми оцінюємо.

Більшість вебу добровільно розкриває, що на ньому працює: 71.4% сайтів називають свій вебсервер у заголовках відповідей, а 8.1% ідуть далі й розкривають свій стек застосунку — часто з точною версією. Нічого з цього не є обов’язковим, і кожен фрагмент є безкоштовною підказкою для зловмисника, який вирішує, що атакувати. Розкриття версії — найгірше: заголовок, що рекламує програмне забезпечення з закінченим терміном підтримки, — це запрошення.

Що оголошує веб

Заголовок Server називає програмне забезпечення вебсервера. Станом на 2026-06-29, найпоширеніші значення серед 71.4% сайтів, які його надсилають:

Заголовок ServerЧастка серед сайтів, які його надсилають
cloudflare21.7%
nginx16.0%
apache14.9%
openresty9.2%
squarespace4.9%

Сама лише назва сервера має низький ризик. Справжня загроза — це X-Powered-By, який надсилають 8.1% сайтів — і який часто містить точну версію. Найпоширеніші значення включають asp.net та конкретні збірки PHP, як-от php/7.4.33.

Чому розкриття версії має значення

Зловмисник, який сканує інтернет на наявність відомої вразливості, фільтрує саме за цими заголовками. Сайт, що рекламує php/7.4.33версію PHP із закінченим терміном підтримки, яка більше не отримує патчів безпеки — повідомляє кожному сканеру, що він може бути вразливим, ще до жодної спроби зондування. Розкриття не створює вразливості, але усуває витрати зловмисника на розвідку й переміщує незапатчений сайт на вершину списку.

Виправлення безкоштовне й не має жодного недоліку для відвідувачів: придушіть або зробіть узагальненими ці заголовки. Немає жодної функціональної причини транслювати версію вашого стеку публічно.

Як припинити витік вашого стеку

  1. Повністю видаліть X-Powered-By — він не служить жодній меті для відвідувачів. (Одна директива в PHP/вашому фреймворку або видалення заголовка на проксі.)
  2. Зробіть узагальненим Server — приберіть версію або заголовок на вашому вебсервері чи CDN.
  3. Тримайте стек запатченим у будь-якому разі — приховування версії дає час, але не замінює оновлення.
  4. Перевірте повторно, щоб підтвердити, що заголовки зникли.

Поширені запитання

Що таке заголовок X-Powered-By? Заголовок відповіді, який рекламує фреймворк застосунку й часто його точну версію (наприклад, конкретну збірку PHP). Він необов’язковий і не дає жодної користі відвідувачам — лише зловмисникам. 8.1% сайтів його надсилають.

Чи є розкриття мого серверного програмного забезпечення вразливістю? Само по собі ні, але це розкриття інформації: воно дозволяє зловмисникам фільтрувати за відомими вразливостями у вашому конкретному стеку та версії, зводячи їхню розвідку до нуля. Найкраща практика — придушити його.

Чи слід мені приховувати заголовок Server? Зробити його узагальненим (прибравши версію) — гарна практика. Більший виграш — це видалення X-Powered-By й підтримання програмного забезпечення запатченим.

Чи шкодить це SEO або відвідувачам? Ні. Ці заголовки невидимі для користувачів і несуттєві для пошукових систем. Їх видалення — це чиста користь.

Перевірте, що розкривають ваші заголовки

Подивіться точно, що оголошує ваш сайт — і що прибрати — безкоштовно й приватно.

Перевірте свій домен → · Табель заголовків безпеки HTTP → · Лише агреговані дані. Дані зберігаються та обробляються в ЄС.