Defaults.Exposed › Raportit
Puolet PHP-verkosta pyörii elinkaarensa päättyneellä PHP:llä (2026)
Julkaistu 2026-06-29
Luvut tilanteessa 2026-06-29 · menetelmä v7. Koottua väestönlaskentadataa havaituista
X-Powered-By-vastausotsakkeista 261 miljoonan arvostellun verkkotunnuksen joukossa. EOL-osuus mitataan yleisimpien paljastettujen PHP-versioiden joukossa; ”elinkaaren loppu” tarkoittaa julkaisua, joka ei enää saa tietoturvakorjauksia (PHP ≤ 8.1 vuonna 2026). Katso miten arvostelemme.
Valtava osa verkosta käyttää PHP:tä, joka lakkasi saamasta tietoturvapäivityksiä vuosia sitten — ja kertoo siitä mielellään. Niistä 12 miljoonasta sivustosta, jotka paljastavat PHP-versionsa vastausotsakkeissa, 50.8% käyttää elinkaarensa päättänyttä julkaisua. Koko verkon yleisin yksittäinen PHP-versio on 7.4.33 — koontiversio, joka saavutti elinkaarensa lopun vuonna 2022 — ja se pyörii 1,889,273 sivustolla. Nämä eivät ole vain vanhentuneita; ne eivät saa lainkaan tietoturvakorjauksia, ja ne ilmoittavat versionsa jokaiselle kysyvälle skannerille.
Mitä ”elinkaaren loppu” tarkoittaa tässä
PHP-julkaisut saavat noin kaksi vuotta aktiivista tukea ja yhden vuoden pelkkiä tietoturvakorjauksia. Sen jälkeen — elinkaaren loppu — ei enää tietoturvapäivityksiä, ei edes kriittisiin haavoittuvuuksiin. Tilanteessa 2026-06-29 kaikki PHP 8.1:een asti ja mukaan lukien on saavuttanut elinkaarensa lopun. EOL-versiota käyttävä sivusto, joka saa uuden tunnetun haavoittuvuuden, yksinkertaisesti pysyy haavoittuvana.
Yleisimmät versiot, joita sivustot mainostavat X-Powered-By:n kautta:
| Paljastettu versio | Sivustot |
|---|---|
| asp.net | 2,319,873 |
| php/7.4.33 | 1,889,273 |
| php/8.2.30 | 1,157,134 |
| php/8.3.30 | 1,082,519 |
Yleisin PHP-koontiversio, 7.4.33, on elinkaarensa päässä — edellä jokaista vielä tuettua julkaisua.
Kaksi päällekkäin pinottua ongelmaa
Tämä on yhdistelmäaltistus:
- Ohjelmisto on korjaamaton. 50.8% versionsa paljastavista PHP-sivustoista ei voi saada tietoturvakorjausta vasta löydettyyn vikaan. Ne luottavat siihen, ettei mitään löydetä — mikä ei ole tietoturvastrategia.
- Ne kuuluttavat sen. Tarkan version paljastaminen muuttaa skannauksen ostoslistaksi: hyökkääjä suodattaa internetistä
7.4.33-versiot, ristiviittaa tunnettuihin haavoittuvuuksiin ja saa kohdelistan ennen kuin lähettää yhtäkään hyökkäystä. (Katso mitä palvelinotsakkeesi vuotavat.)
Kumpikaan ongelma ei ole kallis korjata — mutta ne ovat näkymättömiä omistajalle, joka näkee toimivan sivuston eikä yhtään varoitusta.
Miten päästä eroon elinkaarensa päättäneestä PHP:stä
- Tarkista versiosi. Jos se on 8.1 tai vanhempi, se on elinkaarensa päässä tilanteessa 2026-06-29.
- Päivitä tuettuun julkaisuun (8.2+). Useimmat palveluntarjoajat tarjoavat yhden napsautuksen PHP-version vaihdon.
- Lopeta sen mainostaminen. Poista tai yleistä
X-Powered-By, jotta et luovuta versiotasi hyökkääjille. - Tarkista uudelleen varmistaaksesi.
Usein kysytyt kysymykset
Mikä on yleisin PHP-versio verkossa? 7.4.33 — ja se on elinkaarensa päässä. Se pyörii 1,889,273 sivustolla, enemmän kuin mikään vielä tuettu julkaisu, tilanteessa 2026-06-29.
Kuinka monta verkkosivustoa käyttää tukematonta PHP-versiota? Niistä 12 miljoonasta sivustosta, jotka paljastavat version, 50.8% käyttää elinkaarensa päättänyttä julkaisua (PHP ≤ 8.1). Todellinen luku on todennäköisesti korkeampi, koska monet EOL-sivustot piilottavat versionsa.
Onko elinkaarensa päättäneen PHP:n käyttäminen todella vaarallista? Kyllä. EOL-versiot eivät saa tietoturvakorjauksia, joten mikä tahansa vasta löydetty haavoittuvuus pysyy hyväksikäytettävissä rajattomasti. Yhdistettynä version paljastamiseen se tekee sivustosta helpon, ennalta valikoidun kohteen.
Mistä tiedän, mitä PHP-versiota käytän?
Palveluntarjoajasi hallintapaneeli näyttää sen, ja monet sivustot vuotavat sen X-Powered-By-otsakkeessa. Päivittäminen tuettuun versioon (8.2+) on yleensä yhden napsautuksen muutos.
Tarkista, mitä sivustosi paljastaa
Katso, mainostaako sivustosi teknologiapinoaan — ja muu tietoturva-asentosi — ilmaiseksi ja yksityisesti.
Tarkista verkkotunnuksesi → · Mitä palvelinotsakkeesi vuotavat → · HTTP-tietoturvaotsakkeiden raporttikortti → · Vain koottua dataa. Data tallennetaan ja käsitellään EU:ssa.