Defaults.Exposed › Berichte
Das halbe PHP-Web läuft auf abgekündigtem PHP (2026)
Veröffentlicht 2026-06-29
Stand der Zahlen: 2026-06-29 · Methodik v7. Aggregierte Volkszählungsdaten aus beobachteten
X-Powered-By-Antwort-Headern über 261 Millionen bewertete Domains. Der EOL-Anteil wird über die häufigsten offengelegten PHP-Versionen gemessen; „End-of-Life” bedeutet eine Version, die keine Sicherheitskorrekturen mehr erhält (PHP ≤ 8.1 im Jahr 2026). Siehe wie wir bewerten.
Ein riesiger Teil des Webs läuft mit PHP, das schon vor Jahren keine Sicherheitspatches mehr erhalten hat — und gibt das auch noch bereitwillig preis. Von den 12 Millionen Websites, die ihre PHP-Version in den Antwort-Headern offenlegen, sind 50,8% auf einer End-of-Life-Version. Die mit Abstand häufigste PHP-Version im gesamten Web ist 7.4.33 — ein Build, der 2022 das End-of-Life erreichte — und läuft auf 1.889.273 Websites. Diese sind nicht nur veraltet; sie erhalten keine Sicherheitskorrekturen und verkünden ihre Version jedem Scanner, der danach fragt.
Was „End-of-Life” hier bedeutet
PHP-Versionen erhalten etwa zwei Jahre aktiven Support und ein weiteres Jahr nur mit Sicherheitskorrekturen. Danach — End-of-Life — gibt es keine Sicherheitspatches mehr, nicht einmal für kritische Schwachstellen. Stand 2026-06-29 ist alles bis einschließlich PHP 8.1 End-of-Life. Eine Website auf einer EOL-Version, die eine neue bekannte Schwachstelle aufgreift, bleibt schlicht verwundbar.
Die häufigsten Versionen, die Websites über X-Powered-By bewerben:
| Offengelegte Version | Websites |
|---|---|
| asp.net | 2.319.873 |
| php/7.4.33 | 1.889.273 |
| php/8.2.30 | 1.157.134 |
| php/8.3.30 | 1.082.519 |
Der häufigste PHP-Build, 7.4.33, ist End-of-Life — noch vor jeder weiterhin unterstützten Version.
Zwei Probleme, die sich übereinanderstapeln
Dies ist eine zusammengesetzte Gefährdung:
- Die Software ist ungepatcht. 50,8% der PHP-Websites, die ihre Version offenlegen, können keine Sicherheitskorrektur für eine neu entdeckte Schwachstelle erhalten. Sie verlassen sich darauf, dass nichts gefunden wird — was keine Sicherheitsstrategie ist.
- Sie geben es bekannt. Die Offenlegung der genauen Version verwandelt einen Scan in eine Einkaufsliste: Ein Angreifer filtert das Internet nach
7.4.33, gleicht bekannte Schwachstellen ab und hat eine Zielliste, bevor er einen einzigen Exploit abschickt. (Siehe was Ihre Server-Header verraten.)
Keines der Probleme ist teuer zu beheben — aber sie sind für den Betreiber unsichtbar, der eine funktionierende Website ohne Warnung sieht.
Wie Sie von End-of-Life-PHP wegkommen
- Prüfen Sie Ihre Version. Wenn es 8.1 oder älter ist, ist es Stand 2026-06-29 End-of-Life.
- Aktualisieren Sie auf eine unterstützte Version (8.2+). Die meisten Hoster bieten einen Ein-Klick-Wechsel der PHP-Version.
- Hören Sie auf, damit zu werben. Entfernen oder verallgemeinern Sie
X-Powered-By, damit Sie Angreifern nicht Ihre Version aushändigen. - Prüfen Sie erneut, um es zu bestätigen.
Häufig gestellte Fragen
Was ist die häufigste PHP-Version im Web? 7.4.33 — und sie ist End-of-Life. Sie läuft auf 1.889.273 Websites, mehr als jede weiterhin unterstützte Version, Stand 2026-06-29.
Wie viele Websites laufen mit einer nicht unterstützten PHP-Version? Von den 12 Millionen Websites, die eine Version offenlegen, laufen 50,8% mit einer End-of-Life-Version (PHP ≤ 8.1). Die tatsächliche Zahl ist wahrscheinlich höher, da viele EOL-Websites ihre Version verbergen.
Ist der Betrieb von End-of-Life-PHP tatsächlich gefährlich? Ja. EOL-Versionen erhalten keine Sicherheitspatches, sodass jede neu entdeckte Schwachstelle unbegrenzt ausnutzbar bleibt. In Kombination mit der Versionsoffenlegung wird eine Website zu einem leichten, vorqualifizierten Ziel.
Wie erfahre ich, welche PHP-Version ich verwende?
Das Control-Panel Ihres Hosters zeigt sie an, und viele Websites verraten sie im X-Powered-By-Header. Das Upgrade auf eine unterstützte Version (8.2+) ist normalerweise eine Änderung mit einem Klick.
Prüfen Sie, was Ihre Website preisgibt
Sehen Sie, ob Ihre Website ihren Stack bewirbt — und den Rest Ihrer Sicherheitslage — kostenlos und privat.
Prüfen Sie Ihre Domain → · Was Ihre Server-Header verraten → · Das Zeugnis für HTTP-Sicherheits-Header → · Nur aggregierte Daten. Daten in der EU gespeichert und verarbeitet.