Defaults.Exposed

Defaults.Exposed › گزارش‌ها

نیمی از وبِ PHP روی PHP پایان‌عمر اجرا می‌شود (۲۰۲۶)

منتشرشده 2026-06-29

ارقام تا تاریخ 2026-06-29 · روش‌شناسی نسخهٔ v7. داده‌های تجمیعی سرشماری از سرآیندهای پاسخ X-Powered-By مشاهده‌شده در سراسر 261 میلیون دامنهٔ نمره‌گذاری‌شده. سهم EOL در میان رایج‌ترین نسخه‌های PHP افشاشده اندازه‌گیری می‌شود؛ «پایان عمر» به معنای نسخه‌ای است که دیگر اصلاحیه‌های امنیتی دریافت نمی‌کند (PHP ≤ 8.1 تا سال ۲۰۲۶). ببینید چگونه نمره می‌دهیم.

سهم عظیمی از وب از PHP‌ای استفاده می‌کند که سال‌ها پیش دریافت اصلاحیه‌های امنیتی را متوقف کرده — و با کمال میل آن را به شما اعلام می‌کند. از میان 12 میلیون سایتی که نسخهٔ PHP خود را در سرآیندهای پاسخ افشا می‌کنند، 50.8٪ روی نسخه‌ای با پایان عمر قرار دارند. رایج‌ترین نسخهٔ PHP در کل وب 7.4.33 است — نسخه‌ای که در سال ۲۰۲۲ به پایان عمر رسید — که روی 1,889,273 سایت اجرا می‌شود. اینها فقط قدیمی نیستند؛ هیچ اصلاحیهٔ امنیتی دریافت نمی‌کنند و نسخهٔ خود را به هر اسکنری که بپرسد اعلام می‌کنند.

«پایان عمر» در اینجا چه معنایی دارد

نسخه‌های PHP تقریباً دو سال پشتیبانی فعال و یک سال دیگر اصلاحیه‌های صرفاً امنیتی دریافت می‌کنند. پس از آن — پایان عمر — دیگر هیچ اصلاحیهٔ امنیتی، حتی برای آسیب‌پذیری‌های بحرانی. تا تاریخ 2026-06-29، هر چیزی تا و شامل PHP 8.1 در پایان عمر است. سایتی که روی نسخه‌ای EOL است و یک آسیب‌پذیری شناخته‌شدهٔ جدید پیدا می‌کند، به‌سادگی آسیب‌پذیر باقی می‌ماند.

رایج‌ترین نسخه‌هایی که سایت‌ها از طریق X-Powered-By تبلیغ می‌کنند:

نسخهٔ افشاشدهسایت‌ها
asp.net2,319,873
php/7.4.331,889,273
php/8.2.301,157,134
php/8.3.301,082,519

رایج‌ترین نسخهٔ ساخت PHP، 7.4.33، در پایان عمر است — جلوتر از هر نسخهٔ هنوز پشتیبانی‌شده.

دو مشکل روی هم انباشته

این یک افشای مرکب است:

  1. نرم‌افزار اصلاح‌نشده است. 50.8٪ از سایت‌های PHP که نسخه را افشا می‌کنند نمی‌توانند برای یک نقص تازه‌کشف‌شده اصلاحیهٔ امنیتی دریافت کنند. آنها به این وابسته‌اند که چیزی پیدا نشود — که این یک راهبرد امنیتی نیست.
  2. آن را پخش می‌کنند. افشای نسخهٔ دقیق، یک اسکن را به فهرست خرید تبدیل می‌کند: مهاجم اینترنت را برای 7.4.33 فیلتر می‌کند، آن را با آسیب‌پذیری‌های شناخته‌شده تطبیق می‌دهد و پیش از ارسال حتی یک اکسپلویت، فهرستی از اهداف در اختیار دارد. (ببینید سرآیندهای سرور شما چه چیزی فاش می‌کنند.)

هیچ‌کدام از این مشکلات اصلاحشان پرهزینه نیست — اما برای مالک نامرئی‌اند، کسی که یک سایت کارا و هیچ هشداری نمی‌بیند.

چگونه از PHP پایان‌عمر خارج شویم

  1. نسخهٔ خود را بررسی کنید. اگر 8.1 یا قدیمی‌تر است، تا تاریخ 2026-06-29 در پایان عمر است.
  2. به یک نسخهٔ پشتیبانی‌شده ارتقا دهید (8.2+). بیشتر میزبان‌ها تعویض نسخهٔ PHP را با یک کلیک ارائه می‌دهند.
  3. تبلیغ آن را متوقف کنید. X-Powered-By را حذف یا عمومی کنید تا نسخهٔ خود را در اختیار مهاجمان نگذارید.
  4. دوباره بررسی کنید تا تأیید شود.

پرسش‌های متداول

رایج‌ترین نسخهٔ PHP در وب کدام است؟ 7.4.33 — و در پایان عمر است. روی 1,889,273 سایت اجرا می‌شود، بیش از هر نسخهٔ هنوز پشتیبانی‌شده، تا تاریخ 2026-06-29.

چند وب‌سایت نسخهٔ PHP پشتیبانی‌نشده اجرا می‌کنند؟ از میان 12 میلیون سایتی که یک نسخه را افشا می‌کنند، 50.8٪ نسخه‌ای با پایان عمر (PHP ≤ 8.1) اجرا می‌کنند. رقم واقعی احتمالاً بالاتر است، زیرا بسیاری از سایت‌های EOL نسخهٔ خود را پنهان می‌کنند.

آیا اجرای PHP پایان‌عمر واقعاً خطرناک است؟ بله. نسخه‌های EOL هیچ اصلاحیهٔ امنیتی دریافت نمی‌کنند، بنابراین هر آسیب‌پذیری تازه‌کشف‌شده به‌طور نامحدود قابل بهره‌برداری باقی می‌ماند. در ترکیب با افشای نسخه، یک سایت را به هدفی آسان و از پیش‌واجدشرایط تبدیل می‌کند.

چگونه بدانم روی کدام نسخهٔ PHP هستم؟ پنل کنترل میزبان شما آن را نشان می‌دهد و بسیاری از سایت‌ها آن را در سرآیند X-Powered-By فاش می‌کنند. ارتقا به یک نسخهٔ پشتیبانی‌شده (8.2+) معمولاً تغییری یک‌کلیکی است.

بررسی کنید سایت شما چه چیزی فاش می‌کند

ببینید آیا سایت شما پشتهٔ فناوری خود را تبلیغ می‌کند — و بقیهٔ وضعیت امنیتی شما را — رایگان و خصوصی.

دامنهٔ خود را بررسی کنید → · سرآیندهای سرور شما چه چیزی فاش می‌کنند → · کارنامهٔ سرآیندهای امنیتی HTTP → · فقط داده‌های تجمیعی. داده‌ها در اتحادیهٔ اروپا ذخیره و پردازش می‌شوند.