Defaults.Exposed

Defaults.Exposed › Berichte

Das halbe PHP-Web läuft auf abgekündigtem PHP (2026)

Veröffentlicht 2026-06-29

Stand der Zahlen: 2026-06-29 · Methodik v7. Aggregierte Volkszählungsdaten aus beobachteten X-Powered-By-Antwort-Headern über 261 Millionen bewertete Domains. Der EOL-Anteil wird über die häufigsten offengelegten PHP-Versionen gemessen; „End-of-Life” bedeutet eine Version, die keine Sicherheitskorrekturen mehr erhält (PHP ≤ 8.1 im Jahr 2026). Siehe wie wir bewerten.

Ein riesiger Teil des Webs läuft mit PHP, das schon vor Jahren keine Sicherheitspatches mehr erhalten hat — und gibt das auch noch bereitwillig preis. Von den 12 Millionen Websites, die ihre PHP-Version in den Antwort-Headern offenlegen, sind 50,8% auf einer End-of-Life-Version. Die mit Abstand häufigste PHP-Version im gesamten Web ist 7.4.33 — ein Build, der 2022 das End-of-Life erreichte — und läuft auf 1.889.273 Websites. Diese sind nicht nur veraltet; sie erhalten keine Sicherheitskorrekturen und verkünden ihre Version jedem Scanner, der danach fragt.

Was „End-of-Life” hier bedeutet

PHP-Versionen erhalten etwa zwei Jahre aktiven Support und ein weiteres Jahr nur mit Sicherheitskorrekturen. Danach — End-of-Life — gibt es keine Sicherheitspatches mehr, nicht einmal für kritische Schwachstellen. Stand 2026-06-29 ist alles bis einschließlich PHP 8.1 End-of-Life. Eine Website auf einer EOL-Version, die eine neue bekannte Schwachstelle aufgreift, bleibt schlicht verwundbar.

Die häufigsten Versionen, die Websites über X-Powered-By bewerben:

Offengelegte VersionWebsites
asp.net2.319.873
php/7.4.331.889.273
php/8.2.301.157.134
php/8.3.301.082.519

Der häufigste PHP-Build, 7.4.33, ist End-of-Life — noch vor jeder weiterhin unterstützten Version.

Zwei Probleme, die sich übereinanderstapeln

Dies ist eine zusammengesetzte Gefährdung:

  1. Die Software ist ungepatcht. 50,8% der PHP-Websites, die ihre Version offenlegen, können keine Sicherheitskorrektur für eine neu entdeckte Schwachstelle erhalten. Sie verlassen sich darauf, dass nichts gefunden wird — was keine Sicherheitsstrategie ist.
  2. Sie geben es bekannt. Die Offenlegung der genauen Version verwandelt einen Scan in eine Einkaufsliste: Ein Angreifer filtert das Internet nach 7.4.33, gleicht bekannte Schwachstellen ab und hat eine Zielliste, bevor er einen einzigen Exploit abschickt. (Siehe was Ihre Server-Header verraten.)

Keines der Probleme ist teuer zu beheben — aber sie sind für den Betreiber unsichtbar, der eine funktionierende Website ohne Warnung sieht.

Wie Sie von End-of-Life-PHP wegkommen

  1. Prüfen Sie Ihre Version. Wenn es 8.1 oder älter ist, ist es Stand 2026-06-29 End-of-Life.
  2. Aktualisieren Sie auf eine unterstützte Version (8.2+). Die meisten Hoster bieten einen Ein-Klick-Wechsel der PHP-Version.
  3. Hören Sie auf, damit zu werben. Entfernen oder verallgemeinern Sie X-Powered-By, damit Sie Angreifern nicht Ihre Version aushändigen.
  4. Prüfen Sie erneut, um es zu bestätigen.

Häufig gestellte Fragen

Was ist die häufigste PHP-Version im Web? 7.4.33 — und sie ist End-of-Life. Sie läuft auf 1.889.273 Websites, mehr als jede weiterhin unterstützte Version, Stand 2026-06-29.

Wie viele Websites laufen mit einer nicht unterstützten PHP-Version? Von den 12 Millionen Websites, die eine Version offenlegen, laufen 50,8% mit einer End-of-Life-Version (PHP ≤ 8.1). Die tatsächliche Zahl ist wahrscheinlich höher, da viele EOL-Websites ihre Version verbergen.

Ist der Betrieb von End-of-Life-PHP tatsächlich gefährlich? Ja. EOL-Versionen erhalten keine Sicherheitspatches, sodass jede neu entdeckte Schwachstelle unbegrenzt ausnutzbar bleibt. In Kombination mit der Versionsoffenlegung wird eine Website zu einem leichten, vorqualifizierten Ziel.

Wie erfahre ich, welche PHP-Version ich verwende? Das Control-Panel Ihres Hosters zeigt sie an, und viele Websites verraten sie im X-Powered-By-Header. Das Upgrade auf eine unterstützte Version (8.2+) ist normalerweise eine Änderung mit einem Klick.

Prüfen Sie, was Ihre Website preisgibt

Sehen Sie, ob Ihre Website ihren Stack bewirbt — und den Rest Ihrer Sicherheitslage — kostenlos und privat.

Prüfen Sie Ihre Domain → · Was Ihre Server-Header verraten → · Das Zeugnis für HTTP-Sicherheits-Header → · Nur aggregierte Daten. Daten in der EU gespeichert und verarbeitet.