Defaults.Exposed › Laporan
Separuh Web PHP Menjalankan PHP Tamat Hayat (2026)
Diterbitkan 2026-06-29
Angka setakat 2026-06-29 · metodologi v7. Data banci agregat daripada pengepala respons
X-Powered-Byyang diperhatikan merentas 261 juta domain yang dinilai. Bahagian EOL diukur merentas versi PHP yang paling kerap didedahkan; “akhir hayat” bermaksud keluaran yang tidak lagi menerima tampung keselamatan (PHP ≤ 8.1 setakat 2026). Lihat bagaimana kami menilai.
Sebahagian besar web menjalankan PHP yang telah berhenti menerima tampung keselamatan bertahun-tahun lalu — dan dengan senang hati memberitahu anda. Daripada 12 juta tapak yang mendedahkan versi PHP mereka dalam pengepala respons, 50.8% berada pada keluaran akhir hayat. Versi PHP tunggal yang paling kerap di seluruh web ialah 7.4.33 — binaan yang mencapai akhir hayat pada 2022 — yang berjalan pada 1,889,273 tapak. Ini bukan sekadar lapuk; ia tidak menerima sebarang tampung keselamatan, dan ia mengumumkan versinya kepada setiap pengimbas yang bertanya.
Apa maksud “akhir hayat” di sini
Keluaran PHP mendapat kira-kira dua tahun sokongan aktif dan satu tahun lagi tampung keselamatan sahaja. Selepas itu — akhir hayat — tiada lagi tampung keselamatan, walaupun untuk kerentanan kritikal. Setakat 2026-06-29, segala-galanya sehingga dan termasuk PHP 8.1 adalah akhir hayat. Tapak pada versi EOL yang menerima kerentanan baharu yang diketahui hanya kekal terdedah.
Versi paling kerap yang diiklankan tapak melalui X-Powered-By:
| Versi yang didedahkan | Tapak |
|---|---|
| asp.net | 2,319,873 |
| php/7.4.33 | 1,889,273 |
| php/8.2.30 | 1,157,134 |
| php/8.3.30 | 1,082,519 |
Binaan PHP yang paling kerap, 7.4.33, adalah akhir hayat — mendahului setiap keluaran yang masih disokong.
Dua masalah bertindih antara satu sama lain
Ini ialah pendedahan majmuk:
- Perisian tidak ditampung. 50.8% tapak PHP yang mendedahkan versi tidak dapat menerima tampung keselamatan untuk kecacatan yang baharu ditemui. Mereka bergantung pada tiada apa-apa yang ditemui — yang bukan suatu strategi keselamatan.
- Mereka menyiarkannya. Mendedahkan versi tepat menukar imbasan menjadi senarai beli-belah: penyerang menapis internet untuk
7.4.33, merujuk silang kerentanan yang diketahui, dan mempunyai senarai sasaran sebelum menghantar walau satu eksploit pun. (Lihat apa yang dibocorkan oleh pengepala pelayan anda.)
Kedua-dua masalah tidak mahal untuk dibaiki — tetapi ia tidak kelihatan kepada pemilik, yang melihat tapak yang berfungsi dan tiada amaran.
Cara keluar daripada PHP akhir hayat
- Semak versi anda. Jika ia 8.1 atau lebih lama, ia adalah akhir hayat setakat 2026-06-29.
- Naik taraf kepada keluaran yang disokong (8.2+). Kebanyakan hos menawarkan penukaran versi PHP satu klik.
- Berhenti mengiklankannya. Buang atau jadikan generik
X-Powered-Bysupaya anda tidak menyerahkan versi anda kepada penyerang. - Semak semula untuk mengesahkan.
Soalan lazim
Apakah versi PHP yang paling kerap di web? 7.4.33 — dan ia adalah akhir hayat. Ia berjalan pada 1,889,273 tapak, lebih daripada mana-mana keluaran yang masih disokong, setakat 2026-06-29.
Berapa banyak laman web menjalankan versi PHP yang tidak disokong? Antara 12 juta tapak yang mendedahkan versi, 50.8% menjalankan keluaran akhir hayat (PHP ≤ 8.1). Angka sebenar berkemungkinan lebih tinggi, kerana banyak tapak EOL menyembunyikan versi mereka.
Adakah menjalankan PHP akhir hayat benar-benar berbahaya? Ya. Versi EOL tidak menerima tampung keselamatan, jadi mana-mana kerentanan yang baharu ditemui kekal boleh dieksploitasi tanpa had. Digabungkan dengan pendedahan versi, ia menjadikan tapak sasaran yang mudah dan telah dilayakkan terlebih dahulu.
Bagaimana saya tahu versi PHP yang saya gunakan?
Panel kawalan hos anda menunjukkannya, dan banyak tapak membocorkannya dalam pengepala X-Powered-By. Menaik taraf kepada versi yang disokong (8.2+) biasanya merupakan perubahan satu klik.
Semak apa yang didedahkan oleh tapak anda
Lihat sama ada tapak anda mengiklankan timbunan teknologinya — dan selebihnya pendirian keselamatan anda — percuma dan peribadi.
Semak domain anda → · Apa yang dibocorkan oleh pengepala pelayan anda → · Kad laporan pengepala keselamatan HTTP → · Data agregat sahaja. Data disimpan dan diproses di EU.