Defaults.Exposed

Defaults.Exposed › Aruanded

Pool PHP-veebist töötab elutsükli lõppenud PHP-ga (2026)

Avaldatud 2026-06-29

Arvud seisuga 2026-06-29 · metoodika v7. Koondatud loendusandmed jälgitud X-Powered-By vastusepäistest 261 miljoni hinnatud domeeni lõikes. EOL-i osakaalu mõõdetakse kõige levinumate avaldatud PHP versioonide lõikes; „eluea lõpp“ tähendab versiooni, mis enam ei saa turvaparandusi (PHP ≤ 8.1 seisuga 2026). Vaadake kuidas me hindame.

Tohutu osa veebist kasutab PHP-d, mis lakkas turvapaikade saamisest aastaid tagasi — ja teatab seda meelsasti. Nendest 12 miljonist saidist, mis avaldavad oma PHP versiooni vastusepäistes, kasutab 50.8% eluea lõpu versiooni. Kogu veebi kõige levinum üksik PHP versioon on 7.4.33 — väljalase, mis jõudis eluea lõppu 2022. aastal — töötades 1,889,273 saidil. Need pole lihtsalt aegunud; nad ei saa ühtegi turvaparandust ja teatavad oma versiooni igale küsivale skannerile.

Mida „eluea lõpp“ siin tähendab

PHP väljalasked saavad umbes kaks aastat aktiivset tuge ja veel ühe aasta ainult turvaparandusi. Pärast seda — eluea lõpp — rohkem turvapaikasid pole, isegi kriitiliste haavatavuste jaoks. Seisuga 2026-06-29 on kõik kuni PHP 8.1-ni (kaasa arvatud) eluea lõpus. EOL-versiooni kasutav sait, mis saab uue teadaoleva haavatavuse, jääb lihtsalt haavatavaks.

Kõige levinumad versioonid, mida saidid X-Powered-By kaudu reklaamivad:

Avaldatud versioonSaidid
asp.net2,319,873
php/7.4.331,889,273
php/8.2.301,157,134
php/8.3.301,082,519

Kõige levinum PHP versioon, 7.4.33, on eluea lõpus — ees igast veel toetatud väljalaskest.

Kaks üksteise peale laotud probleemi

See on liitne paljastus:

  1. Tarkvara on paikamata. 50.8% versiooni avaldavatest PHP saitidest ei saa turvaparandust äsja avastatud vea jaoks. Nad loodavad sellele, et midagi ei leita — mis pole turvastrateegia.
  2. Nad levitavad seda. Täpse versiooni avaldamine muudab skannimise ostunimekirjaks: ründaja filtreerib internetti 7.4.33 järgi, võrdleb teadaolevate haavatavustega ja omab sihtmärkide nimekirja juba enne ainsagi rünnaku saatmist. (Vaadake mida lekitavad teie serveri päised.)

Kumbki probleem pole kallis parandada — kuid need on omanikule nähtamatud, kes näeb töötavat saiti ja mitte ühtegi hoiatust.

Kuidas eluea lõpu PHP-st lahti saada

  1. Kontrollige oma versiooni. Kui see on 8.1 või vanem, on see seisuga 2026-06-29 eluea lõpus.
  2. Uuendage toetatud väljalaskele (8.2+). Enamik majutajaid pakub PHP versiooni vahetamist ühe klõpsuga.
  3. Lõpetage selle reklaamimine. Eemaldage või üldistage X-Powered-By, et te ei annaks ründajatele oma versiooni.
  4. Kontrollige uuesti kinnitamiseks.

Korduma kippuvad küsimused

Mis on veebi kõige levinum PHP versioon? 7.4.33 — ja see on eluea lõpus. See töötab 1,889,273 saidil, rohkem kui ükski veel toetatud väljalase, seisuga 2026-06-29.

Mitu veebisaiti kasutab toetamata PHP versiooni? Nendest 12 miljonist saidist, mis versiooni avaldavad, kasutab 50.8% eluea lõpu väljalaset (PHP ≤ 8.1). Tegelik arv on tõenäoliselt suurem, kuna paljud EOL-saidid peidavad oma versiooni.

Kas eluea lõpu PHP kasutamine on tegelikult ohtlik? Jah. EOL-versioonid ei saa turvaparandusi, seega jääb iga äsja avastatud haavatavus määramata ajaks ärakasutatavaks. Koos versiooni avaldamisega muudab see saidi lihtsaks, eelkvalifitseeritud sihtmärgiks.

Kuidas ma tean, millist PHP versiooni ma kasutan? Teie majutaja juhtpaneel näitab seda ja paljud saidid lekitavad selle X-Powered-By päises. Toetatud versioonile (8.2+) uuendamine on tavaliselt ühe klõpsu muudatus.

Kontrollige, mida teie sait paljastab

Vaadake, kas teie sait reklaamib oma tehnoloogiapakki — ja ülejäänud teie turvaolukorda — tasuta ja privaatselt.

Kontrollige oma domeeni → · Mida lekitavad teie serveri päised → · HTTP turvapäiste tunnistus → · Ainult koondandmed. Andmeid talletatakse ja töödeldakse ELis.