Defaults.Exposed

Defaults.Exposed › Raportit

Puolet PHP-verkosta pyörii elinkaarensa päättyneellä PHP:llä (2026)

Julkaistu 2026-06-29

Luvut tilanteessa 2026-06-29 · menetelmä v7. Koottua väestönlaskentadataa havaituista X-Powered-By-vastausotsakkeista 261 miljoonan arvostellun verkkotunnuksen joukossa. EOL-osuus mitataan yleisimpien paljastettujen PHP-versioiden joukossa; ”elinkaaren loppu” tarkoittaa julkaisua, joka ei enää saa tietoturvakorjauksia (PHP ≤ 8.1 vuonna 2026). Katso miten arvostelemme.

Valtava osa verkosta käyttää PHP:tä, joka lakkasi saamasta tietoturvapäivityksiä vuosia sitten — ja kertoo siitä mielellään. Niistä 12 miljoonasta sivustosta, jotka paljastavat PHP-versionsa vastausotsakkeissa, 50.8% käyttää elinkaarensa päättänyttä julkaisua. Koko verkon yleisin yksittäinen PHP-versio on 7.4.33 — koontiversio, joka saavutti elinkaarensa lopun vuonna 2022 — ja se pyörii 1,889,273 sivustolla. Nämä eivät ole vain vanhentuneita; ne eivät saa lainkaan tietoturvakorjauksia, ja ne ilmoittavat versionsa jokaiselle kysyvälle skannerille.

Mitä ”elinkaaren loppu” tarkoittaa tässä

PHP-julkaisut saavat noin kaksi vuotta aktiivista tukea ja yhden vuoden pelkkiä tietoturvakorjauksia. Sen jälkeen — elinkaaren loppu — ei enää tietoturvapäivityksiä, ei edes kriittisiin haavoittuvuuksiin. Tilanteessa 2026-06-29 kaikki PHP 8.1:een asti ja mukaan lukien on saavuttanut elinkaarensa lopun. EOL-versiota käyttävä sivusto, joka saa uuden tunnetun haavoittuvuuden, yksinkertaisesti pysyy haavoittuvana.

Yleisimmät versiot, joita sivustot mainostavat X-Powered-By:n kautta:

Paljastettu versioSivustot
asp.net2,319,873
php/7.4.331,889,273
php/8.2.301,157,134
php/8.3.301,082,519

Yleisin PHP-koontiversio, 7.4.33, on elinkaarensa päässä — edellä jokaista vielä tuettua julkaisua.

Kaksi päällekkäin pinottua ongelmaa

Tämä on yhdistelmäaltistus:

  1. Ohjelmisto on korjaamaton. 50.8% versionsa paljastavista PHP-sivustoista ei voi saada tietoturvakorjausta vasta löydettyyn vikaan. Ne luottavat siihen, ettei mitään löydetä — mikä ei ole tietoturvastrategia.
  2. Ne kuuluttavat sen. Tarkan version paljastaminen muuttaa skannauksen ostoslistaksi: hyökkääjä suodattaa internetistä 7.4.33-versiot, ristiviittaa tunnettuihin haavoittuvuuksiin ja saa kohdelistan ennen kuin lähettää yhtäkään hyökkäystä. (Katso mitä palvelinotsakkeesi vuotavat.)

Kumpikaan ongelma ei ole kallis korjata — mutta ne ovat näkymättömiä omistajalle, joka näkee toimivan sivuston eikä yhtään varoitusta.

Miten päästä eroon elinkaarensa päättäneestä PHP:stä

  1. Tarkista versiosi. Jos se on 8.1 tai vanhempi, se on elinkaarensa päässä tilanteessa 2026-06-29.
  2. Päivitä tuettuun julkaisuun (8.2+). Useimmat palveluntarjoajat tarjoavat yhden napsautuksen PHP-version vaihdon.
  3. Lopeta sen mainostaminen. Poista tai yleistä X-Powered-By, jotta et luovuta versiotasi hyökkääjille.
  4. Tarkista uudelleen varmistaaksesi.

Usein kysytyt kysymykset

Mikä on yleisin PHP-versio verkossa? 7.4.33 — ja se on elinkaarensa päässä. Se pyörii 1,889,273 sivustolla, enemmän kuin mikään vielä tuettu julkaisu, tilanteessa 2026-06-29.

Kuinka monta verkkosivustoa käyttää tukematonta PHP-versiota? Niistä 12 miljoonasta sivustosta, jotka paljastavat version, 50.8% käyttää elinkaarensa päättänyttä julkaisua (PHP ≤ 8.1). Todellinen luku on todennäköisesti korkeampi, koska monet EOL-sivustot piilottavat versionsa.

Onko elinkaarensa päättäneen PHP:n käyttäminen todella vaarallista? Kyllä. EOL-versiot eivät saa tietoturvakorjauksia, joten mikä tahansa vasta löydetty haavoittuvuus pysyy hyväksikäytettävissä rajattomasti. Yhdistettynä version paljastamiseen se tekee sivustosta helpon, ennalta valikoidun kohteen.

Mistä tiedän, mitä PHP-versiota käytän? Palveluntarjoajasi hallintapaneeli näyttää sen, ja monet sivustot vuotavat sen X-Powered-By-otsakkeessa. Päivittäminen tuettuun versioon (8.2+) on yleensä yhden napsautuksen muutos.

Tarkista, mitä sivustosi paljastaa

Katso, mainostaako sivustosi teknologiapinoaan — ja muu tietoturva-asentosi — ilmaiseksi ja yksityisesti.

Tarkista verkkotunnuksesi → · Mitä palvelinotsakkeesi vuotavat → · HTTP-tietoturvaotsakkeiden raporttikortti → · Vain koottua dataa. Data tallennetaan ja käsitellään EU:ssa.