Defaults.Exposed › Rapporten
De helft van het PHP-web draait op end-of-life PHP (2026)
Gepubliceerd 2026-06-29
Cijfers per 2026-06-29 · methodologie v7. Geaggregeerde censusgegevens uit waargenomen
X-Powered-By-responsheaders over 261 miljoen beoordeelde domeinen. Het EOL-aandeel wordt gemeten over de meest voorkomende vrijgegeven PHP-versies; “end-of-life” betekent een versie die geen beveiligingsupdates meer ontvangt (PHP ≤ 8.1 per 2026). Zie hoe we beoordelen.
Een enorm deel van het web draait op PHP dat jaren geleden gestopt is met het ontvangen van beveiligingsupdates — en vertelt dat ook nog eens graag. Van de 12 miljoen sites die hun PHP-versie in de responsheaders vrijgeven, draait 50,8% op een end-of-life-versie. De veruit meest voorkomende PHP-versie op het hele web is 7.4.33 — een build die in 2022 het einde van zijn levensduur bereikte — en draait op 1.889.273 sites. Deze zijn niet alleen verouderd; ze ontvangen geen beveiligingsupdates en kondigen hun versie aan bij elke scanner die ernaar vraagt.
Wat “end-of-life” hier betekent
PHP-versies krijgen ongeveer twee jaar actieve ondersteuning en nog een jaar met alleen beveiligingsupdates. Daarna — end-of-life — geen beveiligingsupdates meer, zelfs niet voor kritieke kwetsbaarheden. Per 2026-06-29 is alles tot en met PHP 8.1 end-of-life. Een site op een EOL-versie die een nieuwe bekende kwetsbaarheid oploopt, blijft simpelweg kwetsbaar.
De meest voorkomende versies die sites via X-Powered-By adverteren:
| Vrijgegeven versie | Sites |
|---|---|
| asp.net | 2.319.873 |
| php/7.4.33 | 1.889.273 |
| php/8.2.30 | 1.157.134 |
| php/8.3.30 | 1.082.519 |
De meest voorkomende PHP-build, 7.4.33, is end-of-life — vóór elke nog ondersteunde versie.
Twee problemen op elkaar gestapeld
Dit is een samengestelde blootstelling:
- De software is niet gepatcht. 50,8% van de PHP-sites die hun versie vrijgeven, kan geen beveiligingsupdate ontvangen voor een nieuw ontdekt lek. Ze zijn afhankelijk van het feit dat er niets gevonden wordt — wat geen beveiligingsstrategie is.
- Ze bazuinen het rond. Het vrijgeven van de exacte versie verandert een scan in een boodschappenlijst: een aanvaller filtert het internet op
7.4.33, legt dit naast bekende kwetsbaarheden en heeft een doelwitlijst voordat hij ook maar één exploit verstuurt. (Zie wat je serverheaders lekken.)
Geen van beide problemen is duur om op te lossen — maar ze zijn onzichtbaar voor de eigenaar, die een werkende site ziet en geen waarschuwing.
Hoe je van end-of-life-PHP afkomt
- Controleer je versie. Als het 8.1 of ouder is, is het end-of-life per 2026-06-29.
- Upgrade naar een ondersteunde versie (8.2+). De meeste hosts bieden een PHP-versiewissel met één klik.
- Stop met het adverteren ervan. Verwijder
X-Powered-Byof maak het generiek, zodat je je versie niet aan aanvallers overhandigt. - Controleer opnieuw om het te bevestigen.
Veelgestelde vragen
Wat is de meest voorkomende PHP-versie op het web? 7.4.33 — en het is end-of-life. Het draait op 1.889.273 sites, meer dan welke nog ondersteunde versie dan ook, per 2026-06-29.
Hoeveel websites draaien op een niet-ondersteunde PHP-versie? Van de 12 miljoen sites die een versie vrijgeven, draait 50,8% op een end-of-life-versie (PHP ≤ 8.1). Het werkelijke cijfer ligt waarschijnlijk hoger, omdat veel EOL-sites hun versie verbergen.
Is het draaien van end-of-life-PHP echt gevaarlijk? Ja. EOL-versies ontvangen geen beveiligingsupdates, dus elke nieuw ontdekte kwetsbaarheid blijft onbeperkt exploiteerbaar. Gecombineerd met versievrijgave maakt het een site een gemakkelijk, vooraf gekwalificeerd doelwit.
Hoe weet ik welke PHP-versie ik gebruik?
Het configuratiescherm van je host laat het zien, en veel sites lekken het in de X-Powered-By-header. Upgraden naar een ondersteunde versie (8.2+) is meestal een wijziging met één klik.
Controleer wat je site onthult
Bekijk of je site zijn stack adverteert — en de rest van je beveiligingshouding — gratis en privé.
Controleer je domein → · Wat je serverheaders lekken → · Het rapport voor HTTP-beveiligingsheaders → · Alleen geaggregeerde gegevens. Gegevens opgeslagen en verwerkt in de EU.