Defaults.Exposed › Rapports
La moitié du Web sous PHP fait tourner un PHP en fin de vie (2026)
Publié 2026-06-29
Chiffres au 2026-06-29 · méthodologie v7. Données de recensement agrégées à partir des en-têtes de réponse
X-Powered-Byobservés sur 261 millions de domaines évalués. La part de fin de vie est mesurée parmi les versions PHP divulguées les plus courantes ; « fin de vie » désigne une version qui ne reçoit plus de correctifs de sécurité (PHP ≤ 8.1 en 2026). Voir comment nous évaluons.
Une énorme partie du web fonctionne avec un PHP qui a cessé de recevoir des correctifs de sécurité il y a des années — et le clame volontiers. Sur les 12 millions de sites qui divulguent leur version de PHP dans les en-têtes de réponse, 50,8% utilisent une version en fin de vie. La version de PHP de loin la plus courante sur l’ensemble du web est 7.4.33 — une build qui a atteint sa fin de vie en 2022 — fonctionnant sur 1 889 273 sites. Ces sites ne sont pas seulement obsolètes ; ils ne reçoivent aucun correctif de sécurité et annoncent leur version à chaque scanner qui le demande.
Ce que signifie « fin de vie » ici
Les versions de PHP bénéficient d’environ deux ans de support actif et d’une année supplémentaire de correctifs de sécurité uniquement. Après cela — fin de vie — plus aucun correctif de sécurité, même pour les vulnérabilités critiques. Au 2026-06-29, tout jusqu’à PHP 8.1 inclus est en fin de vie. Un site sur une version en fin de vie qui hérite d’une nouvelle vulnérabilité connue reste tout simplement vulnérable.
Les versions les plus courantes que les sites annoncent via X-Powered-By :
| Version divulguée | Sites |
|---|---|
| asp.net | 2 319 873 |
| php/7.4.33 | 1 889 273 |
| php/8.2.30 | 1 157 134 |
| php/8.3.30 | 1 082 519 |
La build PHP la plus courante, 7.4.33, est en fin de vie — devant toute version encore prise en charge.
Deux problèmes empilés l’un sur l’autre
Il s’agit d’une exposition cumulée :
- Le logiciel n’est pas corrigé. 50,8% des sites PHP qui divulguent leur version ne peuvent pas recevoir de correctif de sécurité pour une faille nouvellement découverte. Ils comptent sur le fait que rien ne soit trouvé — ce qui n’est pas une stratégie de sécurité.
- Ils le diffusent. Divulguer la version exacte transforme un scan en liste de courses : un attaquant filtre l’internet à la recherche de
7.4.33, recoupe avec les vulnérabilités connues et dispose d’une liste de cibles avant d’envoyer le moindre exploit. (Voir ce que vos en-têtes de serveur divulguent.)
Aucun des deux problèmes n’est coûteux à corriger — mais ils sont invisibles pour le propriétaire, qui voit un site fonctionnel et aucun avertissement.
Comment quitter un PHP en fin de vie
- Vérifiez votre version. Si c’est 8.1 ou plus ancienne, elle est en fin de vie au 2026-06-29.
- Passez à une version prise en charge (8.2+). La plupart des hébergeurs proposent un changement de version PHP en un clic.
- Cessez de l’annoncer. Supprimez ou rendez générique
X-Powered-Byafin de ne pas livrer votre version aux attaquants. - Vérifiez à nouveau pour confirmer.
Foire aux questions
Quelle est la version de PHP la plus courante sur le web ? 7.4.33 — et elle est en fin de vie. Elle fonctionne sur 1 889 273 sites, plus que toute version encore prise en charge, au 2026-06-29.
Combien de sites web utilisent une version de PHP non prise en charge ? Parmi les 12 millions de sites qui divulguent une version, 50,8% utilisent une version en fin de vie (PHP ≤ 8.1). Le chiffre réel est probablement plus élevé, car de nombreux sites en fin de vie masquent leur version.
Utiliser un PHP en fin de vie est-il réellement dangereux ? Oui. Les versions en fin de vie ne reçoivent aucun correctif de sécurité, de sorte que toute vulnérabilité nouvellement découverte reste exploitable indéfiniment. Combiné à la divulgation de la version, cela fait d’un site une cible facile et pré-qualifiée.
Comment savoir quelle version de PHP j’utilise ?
Le panneau de contrôle de votre hébergeur l’affiche, et de nombreux sites la divulguent dans l’en-tête X-Powered-By. Passer à une version prise en charge (8.2+) est généralement un changement en un clic.
Vérifiez ce que votre site révèle
Découvrez si votre site annonce sa pile technique — et le reste de votre posture de sécurité — gratuitement et en toute confidentialité.
Vérifiez votre domaine → · Ce que vos en-têtes de serveur divulguent → · Le bulletin de notes des en-têtes de sécurité HTTP → · Données agrégées uniquement. Données stockées et traitées dans l’UE.