Defaults.Exposed › Informes
La mitad de la web con PHP usa versiones de PHP sin soporte (2026)
Publicado 2026-06-29
Cifras a fecha de 2026-06-29 · metodología v7. Datos censales agregados de las cabeceras de respuesta
X-Powered-Byobservadas en 261 millones de dominios evaluados. La proporción EOL se mide entre las versiones de PHP más comunes que se divulgan; «fin de vida útil» significa una versión que ya no recibe correcciones de seguridad (PHP ≤ 8.1 a fecha de 2026). Consulta cómo evaluamos.
Una enorme parte de la web ejecuta PHP que dejó de recibir parches de seguridad hace años — y encima lo proclama sin problema. De los 12 millones de sitios que divulgan su versión de PHP en las cabeceras de respuesta, el 50,8% están en una versión que ha llegado al fin de su vida útil. La versión de PHP más común con diferencia en toda la web es 7.4.33 — una compilación que alcanzó el fin de su vida útil en 2022 — y se ejecuta en 1.889.273 sitios. No solo están desactualizados; no reciben correcciones de seguridad y anuncian su versión a cada escáner que lo pregunta.
Qué significa aquí «fin de vida útil»
Las versiones de PHP reciben aproximadamente dos años de soporte activo y uno más de correcciones solo de seguridad. Después de eso — fin de vida útil — no hay más parches de seguridad, ni siquiera para vulnerabilidades críticas. A fecha de 2026-06-29, todo lo que llega hasta PHP 8.1 incluido ha llegado al fin de su vida útil. Un sitio en una versión EOL que adquiere una nueva vulnerabilidad conocida sencillamente sigue siendo vulnerable.
Las versiones más comunes que los sitios anuncian a través de X-Powered-By:
| Versión divulgada | Sitios |
|---|---|
| asp.net | 2.319.873 |
| php/7.4.33 | 1.889.273 |
| php/8.2.30 | 1.157.134 |
| php/8.3.30 | 1.082.519 |
La compilación de PHP más común, 7.4.33, ha llegado al fin de su vida útil — por delante de cualquier versión aún con soporte.
Dos problemas apilados uno sobre otro
Esto es una exposición combinada:
- El software no está parcheado. El 50,8% de los sitios PHP que divulgan su versión no pueden recibir una corrección de seguridad para un fallo recién descubierto. Dependen de que no se encuentre nada — lo cual no es una estrategia de seguridad.
- Lo difunden. Divulgar la versión exacta convierte un escaneo en una lista de la compra: un atacante filtra internet por
7.4.33, contrasta con vulnerabilidades conocidas y tiene una lista de objetivos antes de enviar un solo exploit. (Consulta qué filtran las cabeceras de tu servidor.)
Ninguno de los dos problemas es caro de resolver — pero son invisibles para el propietario, que ve un sitio que funciona y ninguna advertencia.
Cómo salir del PHP en fin de vida útil
- Comprueba tu versión. Si es 8.1 o anterior, ha llegado al fin de su vida útil a fecha de 2026-06-29.
- Actualiza a una versión con soporte (8.2+). La mayoría de los proveedores ofrecen un cambio de versión de PHP con un solo clic.
- Deja de anunciarla. Elimina o haz genérico el
X-Powered-Bypara no entregar tu versión a los atacantes. - Vuelve a comprobar para confirmarlo.
Preguntas frecuentes
¿Cuál es la versión de PHP más común en la web? 7.4.33 — y ha llegado al fin de su vida útil. Se ejecuta en 1.889.273 sitios, más que cualquier versión aún con soporte, a fecha de 2026-06-29.
¿Cuántos sitios web ejecutan una versión de PHP sin soporte? Entre los 12 millones de sitios que divulgan una versión, el 50,8% ejecutan una versión en fin de vida útil (PHP ≤ 8.1). La cifra real probablemente sea mayor, ya que muchos sitios EOL ocultan su versión.
¿Es realmente peligroso ejecutar PHP en fin de vida útil? Sí. Las versiones EOL no reciben parches de seguridad, por lo que cualquier vulnerabilidad recién descubierta sigue siendo explotable indefinidamente. Combinado con la divulgación de la versión, convierte un sitio en un objetivo fácil y precualificado.
¿Cómo sé qué versión de PHP estoy usando?
El panel de control de tu proveedor la muestra, y muchos sitios la filtran en la cabecera X-Powered-By. Actualizar a una versión con soporte (8.2+) suele ser un cambio de un solo clic.
Comprueba qué revela tu sitio
Comprueba si tu sitio anuncia su stack — y el resto de tu postura de seguridad — gratis y de forma privada.
Comprueba tu dominio → · Qué filtran las cabeceras de tu servidor → · El boletín de notas de las cabeceras de seguridad HTTP → · Solo datos agregados. Datos almacenados y procesados en la UE.