Defaults.Exposed › Report
Metà del web PHP gira su PHP a fine vita (2026)
Pubblicato 2026-06-29
Dati aggiornati al 2026-06-29 · metodologia v7. Dati censuari aggregati dalle intestazioni di risposta
X-Powered-Byosservate su 261 milioni di domini valutati. La quota EOL è misurata tra le versioni di PHP divulgate più comuni; “fine vita” indica una versione che non riceve più correzioni di sicurezza (PHP ≤ 8.1 al 2026). Vedi come valutiamo.
Una grandissima fetta del web utilizza un PHP che ha smesso di ricevere patch di sicurezza anni fa — e ne dà volentieri notizia. Dei 12 milioni di siti che divulgano la propria versione di PHP nelle intestazioni di risposta, il 50,8% è su una versione a fine vita. La versione di PHP di gran lunga più comune sull’intero web è 7.4.33 — una build che ha raggiunto la fine vita nel 2022 — in esecuzione su 1.889.273 siti. Questi non sono solo obsoleti; non ricevono alcuna correzione di sicurezza e annunciano la propria versione a ogni scanner che lo chiede.
Cosa significa qui “fine vita”
Le versioni di PHP ricevono circa due anni di supporto attivo e un altro anno di sole correzioni di sicurezza. Dopodiché — fine vita — niente più patch di sicurezza, nemmeno per le vulnerabilità critiche. Al 2026-06-29, tutto fino a PHP 8.1 incluso è a fine vita. Un sito su una versione EOL che acquisisce una nuova vulnerabilità nota rimane semplicemente vulnerabile.
Le versioni più comuni che i siti pubblicizzano tramite X-Powered-By:
| Versione divulgata | Siti |
|---|---|
| asp.net | 2.319.873 |
| php/7.4.33 | 1.889.273 |
| php/8.2.30 | 1.157.134 |
| php/8.3.30 | 1.082.519 |
La build di PHP più comune, 7.4.33, è a fine vita — davanti a ogni versione ancora supportata.
Due problemi accatastati l’uno sull’altro
Si tratta di un’esposizione composta:
- Il software non è patchato. Il 50,8% dei siti PHP che divulgano la versione non può ricevere una correzione di sicurezza per una falla appena scoperta. Dipendono dal fatto che non venga trovato nulla — il che non è una strategia di sicurezza.
- Lo trasmettono. Divulgare la versione esatta trasforma una scansione in una lista della spesa: un attaccante filtra internet per
7.4.33, incrocia le vulnerabilità note e ha una lista di bersagli prima ancora di inviare un singolo exploit. (Vedi cosa rivelano le intestazioni del tuo server.)
Nessuno dei due problemi è costoso da risolvere — ma sono invisibili al proprietario, che vede un sito funzionante e nessun avviso.
Come abbandonare il PHP a fine vita
- Controlla la tua versione. Se è 8.1 o precedente, è a fine vita al 2026-06-29.
- Aggiorna a una versione supportata (8.2+). La maggior parte degli host offre un cambio di versione PHP con un clic.
- Smetti di pubblicizzarla. Rimuovi o rendi generico
X-Powered-Bycosì da non consegnare la tua versione agli attaccanti. - Ricontrolla per confermare.
Domande frequenti
Qual è la versione di PHP più comune sul web? 7.4.33 — ed è a fine vita. È in esecuzione su 1.889.273 siti, più di qualsiasi versione ancora supportata, al 2026-06-29.
Quanti siti web utilizzano una versione di PHP non supportata? Tra i 12 milioni di siti che divulgano una versione, il 50,8% utilizza una versione a fine vita (PHP ≤ 8.1). La cifra reale è probabilmente più alta, poiché molti siti EOL nascondono la propria versione.
Usare PHP a fine vita è davvero pericoloso? Sì. Le versioni EOL non ricevono patch di sicurezza, quindi qualsiasi vulnerabilità appena scoperta rimane sfruttabile a tempo indeterminato. Combinato con la divulgazione della versione, rende un sito un bersaglio facile e prequalificato.
Come faccio a sapere quale versione di PHP sto usando?
Il pannello di controllo del tuo host la mostra, e molti siti la rivelano nell’intestazione X-Powered-By. Aggiornare a una versione supportata (8.2+) è di solito una modifica con un clic.
Controlla cosa rivela il tuo sito
Verifica se il tuo sito pubblicizza il suo stack — e il resto della tua postura di sicurezza — gratis e in privato.
Controlla il tuo dominio → · Cosa rivelano le intestazioni del tuo server → · La pagella delle intestazioni di sicurezza HTTP → · Solo dati aggregati. Dati archiviati ed elaborati nell’UE.