Defaults.Exposed › Rapporter
Halvdelen af PHP-nettet kører udgået PHP (2026)
Udgivet 2026-06-29
Tal pr. 2026-06-29 · metode v7. Aggregerede folketællingsdata fra observerede
X-Powered-By-svarhoveder på tværs af 261 millioner bedømte domæner. EOL-andelen måles blandt de mest almindelige oplyste PHP-versioner; “slutningen af levetiden” betyder en udgivelse, der ikke længere modtager sikkerhedsrettelser (PHP ≤ 8.1 pr. 2026). Se hvordan vi bedømmer.
En enorm del af nettet kører PHP, der holdt op med at modtage sikkerhedsrettelser for år tilbage — og fortæller gerne om det. Af de 12 millioner websteder, der oplyser deres PHP-version i svarhovederne, kører 50.8% en udgivelse, der har nået slutningen af sin levetid. Den langt mest almindelige PHP-version på hele nettet er 7.4.33 — en build, der nåede slutningen af sin levetid i 2022 — og kører på 1,889,273 websteder. Disse er ikke bare forældede; de modtager ingen sikkerhedsrettelser, og de bekendtgør deres version til enhver scanner, der spørger.
Hvad “slutningen af levetiden” betyder her
PHP-udgivelser får cirka to års aktiv support og et yderligere år med kun sikkerhedsrettelser. Derefter — slutningen af levetiden — ingen flere sikkerhedsrettelser, end ikke til kritiske sårbarheder. Pr. 2026-06-29 er alt til og med PHP 8.1 ved slutningen af sin levetid. Et websted på en EOL-version, der opfanger en ny kendt sårbarhed, forbliver ganske enkelt sårbart.
De mest almindelige versioner, som websteder reklamerer for via X-Powered-By:
| Oplyst version | Websteder |
|---|---|
| asp.net | 2,319,873 |
| php/7.4.33 | 1,889,273 |
| php/8.2.30 | 1,157,134 |
| php/8.3.30 | 1,082,519 |
Den mest almindelige PHP-build, 7.4.33, er ved slutningen af sin levetid — foran enhver stadig understøttet udgivelse.
To problemer stablet oven på hinanden
Dette er en sammensat eksponering:
- Softwaren er ikke patchet. 50.8% af de PHP-websteder, der oplyser deres version, kan ikke modtage en sikkerhedsrettelse til en nyopdaget fejl. De er afhængige af, at intet bliver fundet — hvilket ikke er en sikkerhedsstrategi.
- De udbasunerer det. At oplyse den nøjagtige version forvandler en scanning til en indkøbsliste: en angriber filtrerer internettet efter
7.4.33, krydsrefererer kendte sårbarheder og har en målliste, før der sendes en eneste exploit. (Se hvad dine serverhoveder lækker.)
Ingen af problemerne er dyre at rette — men de er usynlige for ejeren, der ser et fungerende websted og ingen advarsel.
Sådan kommer du væk fra PHP ved slutningen af levetiden
- Tjek din version. Hvis det er 8.1 eller ældre, er den ved slutningen af sin levetid pr. 2026-06-29.
- Opgrader til en understøttet udgivelse (8.2+). De fleste udbydere tilbyder et PHP-versionsskift med ét klik.
- Hold op med at reklamere for den. Fjern eller gør
X-Powered-Bygenerisk, så du ikke overrækker din version til angribere. - Tjek igen for at bekræfte.
Ofte stillede spørgsmål
Hvad er den mest almindelige PHP-version på nettet? 7.4.33 — og den er ved slutningen af sin levetid. Den kører på 1,889,273 websteder, mere end nogen stadig understøttet udgivelse, pr. 2026-06-29.
Hvor mange websteder kører en ikke-understøttet PHP-version? Blandt de 12 millioner websteder, der oplyser en version, kører 50.8% en udgivelse ved slutningen af levetiden (PHP ≤ 8.1). Det reelle tal er sandsynligvis højere, da mange EOL-websteder skjuler deres version.
Er det faktisk farligt at køre PHP ved slutningen af levetiden? Ja. EOL-versioner modtager ingen sikkerhedsrettelser, så enhver nyopdaget sårbarhed forbliver udnyttelig på ubestemt tid. Kombineret med versionsoplysning gør det et websted til et nemt, forhåndskvalificeret mål.
Hvordan ved jeg, hvilken PHP-version jeg har?
Din udbyders kontrolpanel viser den, og mange websteder lækker den i X-Powered-By-hovedet. At opgradere til en understøttet version (8.2+) er normalt en ændring med ét klik.
Tjek, hvad dit websted afslører
Se, om dit websted reklamerer for sin stack — og resten af din sikkerhedstilstand — gratis og privat.
Tjek dit domæne → · Hvad dine serverhoveder lækker → · Karakterbogen for HTTP-sikkerhedshoveder → · Kun aggregerede data. Data lagres og behandles i EU.