Defaults.Exposed › Звіти
Що заголовки вашого сервера повідомляють зловмисникам: звіт про розкриття стека (2026)
Опубліковано 2026-06-29
Дані станом на 2026-06-29 · методологія v7. Агреговані дані перепису зі спостережених заголовків HTTP-відповідей (
Server,X-Powered-By). Дивіться як ми оцінюємо.
Більшість вебу добровільно розкриває, що на ньому працює: 71.4% сайтів називають свій вебсервер у заголовках відповідей, а 8.1% ідуть далі й розкривають свій стек застосунку — часто з точною версією. Нічого з цього не є обов’язковим, і кожен фрагмент є безкоштовною підказкою для зловмисника, який вирішує, що атакувати. Розкриття версії — найгірше: заголовок, що рекламує програмне забезпечення з закінченим терміном підтримки, — це запрошення.
Що оголошує веб
Заголовок Server називає програмне забезпечення вебсервера. Станом на 2026-06-29, найпоширеніші значення серед 71.4% сайтів, які його надсилають:
| Заголовок Server | Частка серед сайтів, які його надсилають |
|---|---|
| cloudflare | 21.7% |
| nginx | 16.0% |
| apache | 14.9% |
| openresty | 9.2% |
| squarespace | 4.9% |
Сама лише назва сервера має низький ризик. Справжня загроза — це X-Powered-By, який надсилають 8.1% сайтів — і який часто містить точну версію. Найпоширеніші значення включають asp.net та конкретні збірки PHP, як-от php/7.4.33.
Чому розкриття версії має значення
Зловмисник, який сканує інтернет на наявність відомої вразливості, фільтрує саме за цими заголовками. Сайт, що рекламує php/7.4.33 — версію PHP із закінченим терміном підтримки, яка більше не отримує патчів безпеки — повідомляє кожному сканеру, що він може бути вразливим, ще до жодної спроби зондування. Розкриття не створює вразливості, але усуває витрати зловмисника на розвідку й переміщує незапатчений сайт на вершину списку.
Виправлення безкоштовне й не має жодного недоліку для відвідувачів: придушіть або зробіть узагальненими ці заголовки. Немає жодної функціональної причини транслювати версію вашого стеку публічно.
Як припинити витік вашого стеку
- Повністю видаліть
X-Powered-By— він не служить жодній меті для відвідувачів. (Одна директива в PHP/вашому фреймворку або видалення заголовка на проксі.) - Зробіть узагальненим
Server— приберіть версію або заголовок на вашому вебсервері чи CDN. - Тримайте стек запатченим у будь-якому разі — приховування версії дає час, але не замінює оновлення.
- Перевірте повторно, щоб підтвердити, що заголовки зникли.
Поширені запитання
Що таке заголовок X-Powered-By? Заголовок відповіді, який рекламує фреймворк застосунку й часто його точну версію (наприклад, конкретну збірку PHP). Він необов’язковий і не дає жодної користі відвідувачам — лише зловмисникам. 8.1% сайтів його надсилають.
Чи є розкриття мого серверного програмного забезпечення вразливістю? Само по собі ні, але це розкриття інформації: воно дозволяє зловмисникам фільтрувати за відомими вразливостями у вашому конкретному стеку та версії, зводячи їхню розвідку до нуля. Найкраща практика — придушити його.
Чи слід мені приховувати заголовок Server?
Зробити його узагальненим (прибравши версію) — гарна практика. Більший виграш — це видалення X-Powered-By й підтримання програмного забезпечення запатченим.
Чи шкодить це SEO або відвідувачам? Ні. Ці заголовки невидимі для користувачів і несуттєві для пошукових систем. Їх видалення — це чиста користь.
Перевірте, що розкривають ваші заголовки
Подивіться точно, що оголошує ваш сайт — і що прибрати — безкоштовно й приватно.
Перевірте свій домен → · Табель заголовків безпеки HTTP → · Лише агреговані дані. Дані зберігаються та обробляються в ЄС.