Defaults.Exposed › Laporan
Separuh Web PHP Menjalankan PHP yang Telah Habis Masa Pakainya (2026)
Diterbitkan 2026-06-29
Angka per 2026-06-29 · metodologi v7. Data sensus teragregasi dari header respons
X-Powered-Byyang teramati di 261 juta domain yang dinilai. Pangsa EOL diukur di antara versi PHP yang paling umum diungkapkan; “akhir masa pakai” berarti rilis yang tidak lagi menerima perbaikan keamanan (PHP ≤ 8.1 per 2026). Lihat cara kami menilai.
Sebagian besar web menjalankan PHP yang berhenti menerima tambalan keamanan bertahun-tahun lalu — dan dengan senang hati memberitahukannya. Dari 12 juta situs yang mengungkapkan versi PHP-nya di header respons, 50.8% menjalankan rilis yang sudah mencapai akhir masa pakai. Versi PHP tunggal yang paling umum di seluruh web adalah 7.4.33 — sebuah build yang mencapai akhir masa pakai pada 2022 — berjalan di 1,889,273 situs. Ini bukan sekadar usang; mereka tidak menerima perbaikan keamanan apa pun, dan mereka mengumumkan versinya ke setiap pemindai yang bertanya.
Apa arti “akhir masa pakai” di sini
Rilis PHP mendapat sekitar dua tahun dukungan aktif dan satu tahun lagi perbaikan khusus keamanan. Setelah itu — akhir masa pakai — tidak ada lagi tambalan keamanan, bahkan untuk kerentanan kritis. Per 2026-06-29, segala sesuatu hingga dan termasuk PHP 8.1 sudah mencapai akhir masa pakai. Situs pada versi EOL yang terkena kerentanan baru yang diketahui hanya akan tetap rentan.
Versi paling umum yang diiklankan situs melalui X-Powered-By:
| Versi yang diungkapkan | Situs |
|---|---|
| asp.net | 2,319,873 |
| php/7.4.33 | 1,889,273 |
| php/8.2.30 | 1,157,134 |
| php/8.3.30 | 1,082,519 |
Build PHP yang paling umum, 7.4.33, sudah mencapai akhir masa pakai — di depan setiap rilis yang masih didukung.
Dua masalah yang menumpuk satu sama lain
Ini adalah paparan majemuk:
- Perangkat lunaknya tidak ditambal. 50.8% situs PHP yang mengungkapkan versinya tidak dapat menerima perbaikan keamanan untuk cacat yang baru ditemukan. Mereka bergantung pada tidak ditemukannya apa pun — yang bukan merupakan strategi keamanan.
- Mereka menyiarkannya. Mengungkapkan versi yang tepat mengubah pemindaian menjadi daftar belanja: penyerang menyaring internet untuk
7.4.33, mereferensikan silang kerentanan yang diketahui, dan memiliki daftar target sebelum mengirim satu eksploit pun. (Lihat apa yang dibocorkan header server Anda.)
Tidak satu pun masalah ini mahal untuk diperbaiki — tetapi keduanya tidak terlihat oleh pemilik, yang melihat situs yang berfungsi dan tanpa peringatan.
Cara keluar dari PHP akhir masa pakai
- Periksa versi Anda. Jika 8.1 atau lebih lama, itu sudah mencapai akhir masa pakai per 2026-06-29.
- Tingkatkan ke rilis yang didukung (8.2+). Sebagian besar host menawarkan peralihan versi PHP sekali klik.
- Berhenti mengiklankannya. Hapus atau buat generik
X-Powered-Byagar Anda tidak menyerahkan versi Anda kepada penyerang. - Periksa ulang untuk memastikan.
Pertanyaan yang sering diajukan
Apa versi PHP yang paling umum di web? 7.4.33 — dan itu sudah mencapai akhir masa pakai. Berjalan di 1,889,273 situs, lebih banyak daripada rilis mana pun yang masih didukung, per 2026-06-29.
Berapa banyak situs web yang menjalankan versi PHP yang tidak didukung? Di antara 12 juta situs yang mengungkapkan versi, 50.8% menjalankan rilis akhir masa pakai (PHP ≤ 8.1). Angka sebenarnya kemungkinan lebih tinggi, karena banyak situs EOL menyembunyikan versinya.
Apakah menjalankan PHP akhir masa pakai benar-benar berbahaya? Ya. Versi EOL tidak menerima tambalan keamanan, sehingga kerentanan apa pun yang baru ditemukan tetap dapat dieksploitasi tanpa batas waktu. Dikombinasikan dengan pengungkapan versi, hal itu menjadikan sebuah situs target yang mudah dan terkualifikasi sebelumnya.
Bagaimana cara mengetahui versi PHP yang saya gunakan?
Panel kontrol host Anda menampilkannya, dan banyak situs membocorkannya di header X-Powered-By. Meningkatkan ke versi yang didukung (8.2+) biasanya merupakan perubahan sekali klik.
Periksa apa yang diungkapkan situs Anda
Lihat apakah situs Anda mengiklankan stack-nya — dan sisa postur keamanan Anda — gratis dan privat.
Periksa domain Anda → · Apa yang dibocorkan header server Anda → · Rapor header keamanan HTTP → · Hanya data teragregasi. Data disimpan dan diproses di UE.