Defaults.Exposed

Defaults.Exposed › Zprávy

Polovina PHP webu běží na PHP po konci podpory (2026)

Publikováno 2026-06-29

Údaje k 2026-06-29 · metodika v7. Agregovaná sčítací data z pozorovaných hlaviček odpovědí X-Powered-By napříč 261 miliony hodnocených domén. Podíl EOL se měří mezi nejběžnějšími odhalenými verzemi PHP; „konec životnosti” znamená verzi, která již nedostává bezpečnostní opravy (PHP ≤ 8.1 k roku 2026). Viz jak hodnotíme.

Obrovská část webu běží na PHP, které před lety přestalo dostávat bezpečnostní záplaty — a ochotně to dává najevo. Z 12 milionů webů, které svou verzi PHP odhalují v hlavičkách odpovědí, 50.8% běží na verzi po konci životnosti. Zdaleka nejběžnější verzí PHP na celém webu je 7.4.33 — sestavení, které dosáhlo konce životnosti v roce 2022 — běžící na 1,889,273 webech. Nejsou jen zastaralé; nedostávají žádné bezpečnostní opravy a oznamují svou verzi každému skeneru, který se zeptá.

Co zde znamená „konec životnosti”

Verze PHP dostávají zhruba dva roky aktivní podpory a další rok pouze bezpečnostních oprav. Poté — konec životnosti — žádné další bezpečnostní záplaty, ani pro kritické zranitelnosti. K 2026-06-29 je vše až po PHP 8.1 včetně po konci životnosti. Web na verzi EOL, který pochytí novou známou zranitelnost, prostě zůstane zranitelný.

Nejběžnější verze, které weby inzerují přes X-Powered-By:

Odhalená verzeWeby
asp.net2,319,873
php/7.4.331,889,273
php/8.2.301,157,134
php/8.3.301,082,519

Nejběžnější sestavení PHP, 7.4.33, je po konci životnosti — před každou stále podporovanou verzí.

Dva problémy navršené na sebe

Jde o složené vystavení riziku:

  1. Software není záplatovaný. 50.8% webů na PHP, které odhalují svou verzi, nemůže dostat bezpečnostní opravu pro nově objevenou chybu. Spoléhají na to, že se nic nenajde — což není bezpečnostní strategie.
  2. Vytrubují to. Odhalení přesné verze promění sken v nákupní seznam: útočník profiltruje internet podle 7.4.33, porovná se známými zranitelnostmi a má seznam cílů ještě před odesláním jediného exploitu. (Viz co prozrazují hlavičky vašeho serveru.)

Ani jeden z problémů není nákladné opravit — ale jsou pro majitele neviditelné, který vidí fungující web a žádné varování.

Jak se dostat z PHP po konci životnosti

  1. Zkontrolujte svou verzi. Pokud je to 8.1 nebo starší, je k 2026-06-29 po konci životnosti.
  2. Aktualizujte na podporovanou verzi (8.2+). Většina hostingů nabízí přepnutí verze PHP jedním kliknutím.
  3. Přestaňte ji inzerovat. Odstraňte nebo zobecněte X-Powered-By, abyste útočníkům nepředávali svou verzi.
  4. Zkontrolujte znovu pro potvrzení.

Často kladené otázky

Jaká je nejběžnější verze PHP na webu? 7.4.33 — a je po konci životnosti. Běží na 1,889,273 webech, více než kterákoli stále podporovaná verze, k 2026-06-29.

Kolik webových stránek běží na nepodporované verzi PHP? Z 12 milionů webů, které odhalují verzi, běží 50.8% na verzi po konci životnosti (PHP ≤ 8.1). Skutečné číslo je pravděpodobně vyšší, protože mnoho EOL webů svou verzi skrývá.

Je provozování PHP po konci životnosti skutečně nebezpečné? Ano. Verze EOL nedostávají žádné bezpečnostní záplaty, takže jakákoli nově objevená zranitelnost zůstává donekonečna zneužitelná. V kombinaci s odhalením verze to z webu dělá snadný, předem kvalifikovaný cíl.

Jak zjistím, jakou verzi PHP používám? Ovládací panel vašeho hostingu ji zobrazuje a mnoho webů ji prozradí v hlavičce X-Powered-By. Aktualizace na podporovanou verzi (8.2+) je obvykle změna jedním kliknutím.

Zkontrolujte, co váš web prozrazuje

Zjistěte, zda váš web inzeruje svůj technologický stack — a zbytek vaší bezpečnostní pozice — zdarma a soukromě.

Zkontrolujte svou doménu → · Co prozrazují hlavičky vašeho serveru → · Vysvědčení bezpečnostních hlaviček HTTP → · Pouze agregovaná data. Data uložena a zpracována v EU.