Defaults.Exposed

Defaults.Exposed › Report

Metà del web PHP gira su PHP a fine vita (2026)

Pubblicato 2026-06-29

Dati aggiornati al 2026-06-29 · metodologia v7. Dati censuari aggregati dalle intestazioni di risposta X-Powered-By osservate su 261 milioni di domini valutati. La quota EOL è misurata tra le versioni di PHP divulgate più comuni; “fine vita” indica una versione che non riceve più correzioni di sicurezza (PHP ≤ 8.1 al 2026). Vedi come valutiamo.

Una grandissima fetta del web utilizza un PHP che ha smesso di ricevere patch di sicurezza anni fa — e ne dà volentieri notizia. Dei 12 milioni di siti che divulgano la propria versione di PHP nelle intestazioni di risposta, il 50,8% è su una versione a fine vita. La versione di PHP di gran lunga più comune sull’intero web è 7.4.33 — una build che ha raggiunto la fine vita nel 2022 — in esecuzione su 1.889.273 siti. Questi non sono solo obsoleti; non ricevono alcuna correzione di sicurezza e annunciano la propria versione a ogni scanner che lo chiede.

Cosa significa qui “fine vita”

Le versioni di PHP ricevono circa due anni di supporto attivo e un altro anno di sole correzioni di sicurezza. Dopodiché — fine vita — niente più patch di sicurezza, nemmeno per le vulnerabilità critiche. Al 2026-06-29, tutto fino a PHP 8.1 incluso è a fine vita. Un sito su una versione EOL che acquisisce una nuova vulnerabilità nota rimane semplicemente vulnerabile.

Le versioni più comuni che i siti pubblicizzano tramite X-Powered-By:

Versione divulgataSiti
asp.net2.319.873
php/7.4.331.889.273
php/8.2.301.157.134
php/8.3.301.082.519

La build di PHP più comune, 7.4.33, è a fine vita — davanti a ogni versione ancora supportata.

Due problemi accatastati l’uno sull’altro

Si tratta di un’esposizione composta:

  1. Il software non è patchato. Il 50,8% dei siti PHP che divulgano la versione non può ricevere una correzione di sicurezza per una falla appena scoperta. Dipendono dal fatto che non venga trovato nulla — il che non è una strategia di sicurezza.
  2. Lo trasmettono. Divulgare la versione esatta trasforma una scansione in una lista della spesa: un attaccante filtra internet per 7.4.33, incrocia le vulnerabilità note e ha una lista di bersagli prima ancora di inviare un singolo exploit. (Vedi cosa rivelano le intestazioni del tuo server.)

Nessuno dei due problemi è costoso da risolvere — ma sono invisibili al proprietario, che vede un sito funzionante e nessun avviso.

Come abbandonare il PHP a fine vita

  1. Controlla la tua versione. Se è 8.1 o precedente, è a fine vita al 2026-06-29.
  2. Aggiorna a una versione supportata (8.2+). La maggior parte degli host offre un cambio di versione PHP con un clic.
  3. Smetti di pubblicizzarla. Rimuovi o rendi generico X-Powered-By così da non consegnare la tua versione agli attaccanti.
  4. Ricontrolla per confermare.

Domande frequenti

Qual è la versione di PHP più comune sul web? 7.4.33 — ed è a fine vita. È in esecuzione su 1.889.273 siti, più di qualsiasi versione ancora supportata, al 2026-06-29.

Quanti siti web utilizzano una versione di PHP non supportata? Tra i 12 milioni di siti che divulgano una versione, il 50,8% utilizza una versione a fine vita (PHP ≤ 8.1). La cifra reale è probabilmente più alta, poiché molti siti EOL nascondono la propria versione.

Usare PHP a fine vita è davvero pericoloso? Sì. Le versioni EOL non ricevono patch di sicurezza, quindi qualsiasi vulnerabilità appena scoperta rimane sfruttabile a tempo indeterminato. Combinato con la divulgazione della versione, rende un sito un bersaglio facile e prequalificato.

Come faccio a sapere quale versione di PHP sto usando? Il pannello di controllo del tuo host la mostra, e molti siti la rivelano nell’intestazione X-Powered-By. Aggiornare a una versione supportata (8.2+) è di solito una modifica con un clic.

Controlla cosa rivela il tuo sito

Verifica se il tuo sito pubblicizza il suo stack — e il resto della tua postura di sicurezza — gratis e in privato.

Controlla il tuo dominio → · Cosa rivelano le intestazioni del tuo server → · La pagella delle intestazioni di sicurezza HTTP → · Solo dati aggregati. Dati archiviati ed elaborati nell’UE.