Defaults.Exposed

Defaults.Exposed › Rapporter

Halvdelen af PHP-nettet kører udgået PHP (2026)

Udgivet 2026-06-29

Tal pr. 2026-06-29 · metode v7. Aggregerede folketællingsdata fra observerede X-Powered-By-svarhoveder på tværs af 261 millioner bedømte domæner. EOL-andelen måles blandt de mest almindelige oplyste PHP-versioner; “slutningen af levetiden” betyder en udgivelse, der ikke længere modtager sikkerhedsrettelser (PHP ≤ 8.1 pr. 2026). Se hvordan vi bedømmer.

En enorm del af nettet kører PHP, der holdt op med at modtage sikkerhedsrettelser for år tilbage — og fortæller gerne om det. Af de 12 millioner websteder, der oplyser deres PHP-version i svarhovederne, kører 50.8% en udgivelse, der har nået slutningen af sin levetid. Den langt mest almindelige PHP-version på hele nettet er 7.4.33 — en build, der nåede slutningen af sin levetid i 2022 — og kører på 1,889,273 websteder. Disse er ikke bare forældede; de modtager ingen sikkerhedsrettelser, og de bekendtgør deres version til enhver scanner, der spørger.

Hvad “slutningen af levetiden” betyder her

PHP-udgivelser får cirka to års aktiv support og et yderligere år med kun sikkerhedsrettelser. Derefter — slutningen af levetiden — ingen flere sikkerhedsrettelser, end ikke til kritiske sårbarheder. Pr. 2026-06-29 er alt til og med PHP 8.1 ved slutningen af sin levetid. Et websted på en EOL-version, der opfanger en ny kendt sårbarhed, forbliver ganske enkelt sårbart.

De mest almindelige versioner, som websteder reklamerer for via X-Powered-By:

Oplyst versionWebsteder
asp.net2,319,873
php/7.4.331,889,273
php/8.2.301,157,134
php/8.3.301,082,519

Den mest almindelige PHP-build, 7.4.33, er ved slutningen af sin levetid — foran enhver stadig understøttet udgivelse.

To problemer stablet oven på hinanden

Dette er en sammensat eksponering:

  1. Softwaren er ikke patchet. 50.8% af de PHP-websteder, der oplyser deres version, kan ikke modtage en sikkerhedsrettelse til en nyopdaget fejl. De er afhængige af, at intet bliver fundet — hvilket ikke er en sikkerhedsstrategi.
  2. De udbasunerer det. At oplyse den nøjagtige version forvandler en scanning til en indkøbsliste: en angriber filtrerer internettet efter 7.4.33, krydsrefererer kendte sårbarheder og har en målliste, før der sendes en eneste exploit. (Se hvad dine serverhoveder lækker.)

Ingen af problemerne er dyre at rette — men de er usynlige for ejeren, der ser et fungerende websted og ingen advarsel.

Sådan kommer du væk fra PHP ved slutningen af levetiden

  1. Tjek din version. Hvis det er 8.1 eller ældre, er den ved slutningen af sin levetid pr. 2026-06-29.
  2. Opgrader til en understøttet udgivelse (8.2+). De fleste udbydere tilbyder et PHP-versionsskift med ét klik.
  3. Hold op med at reklamere for den. Fjern eller gør X-Powered-By generisk, så du ikke overrækker din version til angribere.
  4. Tjek igen for at bekræfte.

Ofte stillede spørgsmål

Hvad er den mest almindelige PHP-version på nettet? 7.4.33 — og den er ved slutningen af sin levetid. Den kører på 1,889,273 websteder, mere end nogen stadig understøttet udgivelse, pr. 2026-06-29.

Hvor mange websteder kører en ikke-understøttet PHP-version? Blandt de 12 millioner websteder, der oplyser en version, kører 50.8% en udgivelse ved slutningen af levetiden (PHP ≤ 8.1). Det reelle tal er sandsynligvis højere, da mange EOL-websteder skjuler deres version.

Er det faktisk farligt at køre PHP ved slutningen af levetiden? Ja. EOL-versioner modtager ingen sikkerhedsrettelser, så enhver nyopdaget sårbarhed forbliver udnyttelig på ubestemt tid. Kombineret med versionsoplysning gør det et websted til et nemt, forhåndskvalificeret mål.

Hvordan ved jeg, hvilken PHP-version jeg har? Din udbyders kontrolpanel viser den, og mange websteder lækker den i X-Powered-By-hovedet. At opgradere til en understøttet version (8.2+) er normalt en ændring med ét klik.

Tjek, hvad dit websted afslører

Se, om dit websted reklamerer for sin stack — og resten af din sikkerhedstilstand — gratis og privat.

Tjek dit domæne → · Hvad dine serverhoveder lækker → · Karakterbogen for HTTP-sikkerhedshoveder → · Kun aggregerede data. Data lagres og behandles i EU.