Defaults.Exposed › Raporty
Połowa sieci na PHP działa na PHP po zakończeniu wsparcia (2026)
Opublikowano 2026-06-29
Dane na dzień 2026-06-29 · metodologia v7. Zagregowane dane spisowe z zaobserwowanych nagłówków odpowiedzi
X-Powered-Byw 261 milionach ocenionych domen. Udział EOL mierzony jest wśród najczęściej ujawnianych wersji PHP; „koniec wsparcia” oznacza wersję, która nie otrzymuje już poprawek bezpieczeństwa (PHP ≤ 8.1 na rok 2026). Zobacz jak oceniamy.
Ogromna część sieci działa na PHP, który przestał otrzymywać poprawki bezpieczeństwa lata temu — i chętnie się tym chwali. Spośród 12 milionów witryn, które ujawniają swoją wersję PHP w nagłówkach odpowiedzi, 50,8% działa na wersji po zakończeniu wsparcia. Zdecydowanie najczęstszą wersją PHP w całej sieci jest 7.4.33 — kompilacja, która osiągnęła koniec wsparcia w 2022 roku — działająca na 1 889 273 witrynach. Nie są one tylko przestarzałe; nie otrzymują żadnych poprawek bezpieczeństwa i ogłaszają swoją wersję każdemu skanerowi, który o nią zapyta.
Co tutaj oznacza „koniec wsparcia”
Wersje PHP otrzymują mniej więcej dwa lata aktywnego wsparcia i jeszcze jeden rok wyłącznie poprawek bezpieczeństwa. Po tym — koniec wsparcia — żadnych poprawek bezpieczeństwa, nawet dla krytycznych podatności. Na dzień 2026-06-29 wszystko do PHP 8.1 włącznie ma zakończone wsparcie. Witryna na wersji EOL, która zyska nową znaną podatność, po prostu pozostaje podatna.
Najczęstsze wersje, które witryny rozgłaszają przez X-Powered-By:
| Ujawniona wersja | Witryny |
|---|---|
| asp.net | 2 319 873 |
| php/7.4.33 | 1 889 273 |
| php/8.2.30 | 1 157 134 |
| php/8.3.30 | 1 082 519 |
Najczęstsza kompilacja PHP, 7.4.33, ma zakończone wsparcie — przed każdą wciąż wspieraną wersją.
Dwa problemy spiętrzone jeden na drugim
To złożone narażenie:
- Oprogramowanie nie jest załatane. 50,8% witryn PHP ujawniających swoją wersję nie może otrzymać poprawki bezpieczeństwa dla nowo odkrytej luki. Polegają na tym, że nic nie zostanie znalezione — co nie jest strategią bezpieczeństwa.
- Rozgłaszają to. Ujawnienie dokładnej wersji zamienia skanowanie w listę zakupów: atakujący filtruje internet pod kątem
7.4.33, zestawia ją ze znanymi podatnościami i ma listę celów, zanim wyśle choćby jeden exploit. (Zobacz co ujawniają nagłówki Twojego serwera.)
Żaden z problemów nie jest kosztowny w naprawie — ale są niewidoczne dla właściciela, który widzi działającą witrynę i żadnego ostrzeżenia.
Jak zejść z PHP po zakończeniu wsparcia
- Sprawdź swoją wersję. Jeśli to 8.1 lub starsza, ma zakończone wsparcie na dzień 2026-06-29.
- Zaktualizuj do wspieranej wersji (8.2+). Większość hostingów oferuje przełączenie wersji PHP jednym kliknięciem.
- Przestań ją rozgłaszać. Usuń lub uogólnij
X-Powered-By, aby nie wręczać atakującym swojej wersji. - Sprawdź ponownie, aby potwierdzić.
Najczęściej zadawane pytania
Jaka jest najczęstsza wersja PHP w sieci? 7.4.33 — i ma zakończone wsparcie. Działa na 1 889 273 witrynach, więcej niż jakakolwiek wciąż wspierana wersja, na dzień 2026-06-29.
Ile witryn działa na niewspieranej wersji PHP? Spośród 12 milionów witryn ujawniających wersję, 50,8% działa na wersji po zakończeniu wsparcia (PHP ≤ 8.1). Rzeczywista liczba jest prawdopodobnie wyższa, ponieważ wiele witryn EOL ukrywa swoją wersję.
Czy uruchamianie PHP po zakończeniu wsparcia jest naprawdę niebezpieczne? Tak. Wersje EOL nie otrzymują poprawek bezpieczeństwa, więc każda nowo odkryta podatność pozostaje możliwa do wykorzystania w nieskończoność. W połączeniu z ujawnieniem wersji czyni to z witryny łatwy, wstępnie zakwalifikowany cel.
Jak sprawdzić, której wersji PHP używam?
Panel sterowania Twojego hostingu ją pokazuje, a wiele witryn ujawnia ją w nagłówku X-Powered-By. Aktualizacja do wspieranej wersji (8.2+) to zazwyczaj zmiana jednym kliknięciem.
Sprawdź, co ujawnia Twoja witryna
Zobacz, czy Twoja witryna rozgłasza swój stos technologiczny — oraz resztę Twojej postawy bezpieczeństwa — bezpłatnie i prywatnie.
Sprawdź swoją domenę → · Co ujawniają nagłówki Twojego serwera → · Świadectwo nagłówków bezpieczeństwa HTTP → · Wyłącznie dane zagregowane. Dane przechowywane i przetwarzane w UE.