Defaults.Exposed

Defaults.Exposed › Rapporter

Halvparten av PHP-nettet kjører utdatert PHP (2026)

Publisert 2026-06-29

Tall per 2026-06-29 · metodikk v7. Aggregerte folketellingsdata fra observerte X-Powered-By-svarhoder på tvers av 261 millioner graderte domener. EOL-andelen måles på tvers av de vanligste avslørte PHP-versjonene; «end-of-life» betyr en utgivelse som ikke lenger mottar sikkerhetsrettelser (PHP ≤ 8.1 per 2026). Se hvordan vi graderer.

En enorm andel av nettet kjører PHP som sluttet å få sikkerhetsoppdateringer for flere år siden — og forteller deg det gjerne. Av de 12 millioner nettstedene som avslører PHP-versjonen sin i svarhodene, kjører 50.8% en end-of-life-utgivelse. Den klart vanligste PHP-versjonen på hele nettet er 7.4.33 — en bygging som nådde slutten av sin levetid i 2022 — som kjører på 1,889,273 nettsteder. Disse er ikke bare utdaterte; de mottar ingen sikkerhetsrettelser, og de kunngjør versjonen sin til enhver skanner som spør.

Hva «end-of-life» betyr her

PHP-utgivelser får omtrent to års aktiv støtte og ett år til med kun sikkerhetsrettelser. Etter det — end-of-life — ingen flere sikkerhetsoppdateringer, ikke engang for kritiske sårbarheter. Per 2026-06-29 er alt til og med PHP 8.1 end-of-life. Et nettsted på en EOL-versjon som rammes av en ny kjent sårbarhet, forblir ganske enkelt sårbart.

De vanligste versjonene nettsteder annonserer via X-Powered-By:

Avslørt versjonNettsteder
asp.net2,319,873
php/7.4.331,889,273
php/8.2.301,157,134
php/8.3.301,082,519

Den vanligste PHP-byggingen, 7.4.33, er end-of-life — foran enhver fortsatt støttet utgivelse.

To problemer stablet oppå hverandre

Dette er en sammensatt eksponering:

  1. Programvaren er uoppdatert. 50.8% av de versjonsavslørende PHP-nettstedene kan ikke motta en sikkerhetsrettelse for en nyoppdaget feil. De er avhengige av at ingenting blir funnet — noe som ikke er en sikkerhetsstrategi.
  2. De kringkaster det. Å avsløre den nøyaktige versjonen gjør en skanning om til en handleliste: en angriper filtrerer internett etter 7.4.33, krysshenviser kjente sårbarheter og har en liste over mål før det sendes et eneste utnyttelsesforsøk. (Se hva serverhodene dine lekker.)

Ingen av problemene er dyre å fikse — men de er usynlige for eieren, som ser et fungerende nettsted og ingen advarsel.

Hvordan komme seg av end-of-life PHP

  1. Sjekk versjonen din. Hvis den er 8.1 eller eldre, er den end-of-life per 2026-06-29.
  2. Oppgrader til en støttet utgivelse (8.2+). De fleste verter tilbyr et ett-klikks-bytte av PHP-versjon.
  3. Slutt å annonsere den. Fjern eller generaliser X-Powered-By slik at du ikke overrekker angripere versjonen din.
  4. Sjekk på nytt for å bekrefte.

Vanlige spørsmål

Hva er den vanligste PHP-versjonen på nettet? 7.4.33 — og den er end-of-life. Den kjører på 1,889,273 nettsteder, mer enn noen fortsatt støttet utgivelse, per 2026-06-29.

Hvor mange nettsteder kjører en ustøttet PHP-versjon? Blant de 12 millioner nettstedene som avslører en versjon, kjører 50.8% en end-of-life-utgivelse (PHP ≤ 8.1). Det reelle tallet er sannsynligvis høyere, siden mange EOL-nettsteder skjuler versjonen sin.

Er det faktisk farlig å kjøre end-of-life PHP? Ja. EOL-versjoner mottar ingen sikkerhetsoppdateringer, så enhver nyoppdaget sårbarhet forblir utnyttbar på ubestemt tid. Kombinert med versjonsavsløring gjør det et nettsted til et enkelt, forhåndskvalifisert mål.

Hvordan vet jeg hvilken PHP-versjon jeg kjører? Kontrollpanelet til verten din viser den, og mange nettsteder lekker den i X-Powered-By-hodet. Å oppgradere til en støttet versjon (8.2+) er vanligvis en ett-klikks endring.

Sjekk hva nettstedet ditt avslører

Se om nettstedet ditt annonserer teknologistabelen sin — og resten av sikkerhetsstillingen din — gratis og privat.

Sjekk domenet ditt → · Hva serverhodene dine lekker → · Rapportkortet for HTTP-sikkerhetshoder → · Kun aggregerte data. Data lagret og behandlet i EU.