Defaults.Exposed

Defaults.Exposed › Relatórios

Metade da Web em PHP Corre PHP em Fim de Vida (2026)

Publicado 2026-06-29

Números em 2026-06-29 · metodologia v7. Dados censitários agregados de cabeçalhos de resposta X-Powered-By observados em 261 milhões de domínios avaliados. A proporção de EOL é medida entre as versões de PHP mais comuns divulgadas; “fim de vida” significa uma versão que já não recebe correções de segurança (PHP ≤ 8.1 em 2026). Veja como avaliamos.

Uma enorme fatia da web roda PHP que parou de receber correções de segurança há anos — e faz questão de avisar. Dos 12 milhões de sites que divulgam a sua versão de PHP nos cabeçalhos de resposta, 50,8% estão numa versão em fim de vida. A versão de PHP de longe mais comum em toda a web é a 7.4.33 — uma compilação que chegou ao fim de vida em 2022 — rodando em 1.889.273 sites. Estes não estão apenas desatualizados; não recebem correções de segurança e anunciam a sua versão a cada scanner que pergunta.

O que “fim de vida” significa aqui

As versões de PHP recebem cerca de dois anos de suporte ativo e mais um apenas com correções de segurança. Depois disso — fim de vida — não há mais correções de segurança, nem mesmo para vulnerabilidades críticas. Em 2026-06-29, tudo até e incluindo o PHP 8.1 está em fim de vida. Um site numa versão EOL que adquire uma nova vulnerabilidade conhecida simplesmente permanece vulnerável.

As versões mais comuns que os sites anunciam através do X-Powered-By:

Versão divulgadaSites
asp.net2.319.873
php/7.4.331.889.273
php/8.2.301.157.134
php/8.3.301.082.519

A compilação de PHP mais comum, a 7.4.33, está em fim de vida — à frente de qualquer versão ainda suportada.

Dois problemas empilhados um sobre o outro

Esta é uma exposição combinada:

  1. O software não está corrigido. 50,8% dos sites PHP que divulgam a versão não podem receber uma correção de segurança para uma falha recém-descoberta. Dependem de que nada seja encontrado — o que não é uma estratégia de segurança.
  2. Eles transmitem isso. Divulgar a versão exata transforma uma varredura numa lista de compras: um atacante filtra a internet por 7.4.33, cruza com vulnerabilidades conhecidas e tem uma lista de alvos antes de enviar um único exploit. (Veja o que os cabeçalhos do seu servidor revelam.)

Nenhum dos problemas é caro de corrigir — mas são invisíveis para o proprietário, que vê um site a funcionar e nenhum aviso.

Como sair do PHP em fim de vida

  1. Verifique a sua versão. Se for 8.1 ou mais antiga, está em fim de vida em 2026-06-29.
  2. Atualize para uma versão suportada (8.2+). A maioria dos provedores oferece uma troca de versão de PHP com um clique.
  3. Pare de a anunciar. Remova ou torne genérico o X-Powered-By para não entregar a sua versão aos atacantes.
  4. Verifique novamente para confirmar.

Perguntas frequentes

Qual é a versão de PHP mais comum na web? 7.4.33 — e está em fim de vida. Roda em 1.889.273 sites, mais do que qualquer versão ainda suportada, em 2026-06-29.

Quantos sites rodam uma versão de PHP sem suporte? Entre os 12 milhões de sites que divulgam uma versão, 50,8% rodam uma versão em fim de vida (PHP ≤ 8.1). O número real é provavelmente maior, já que muitos sites EOL escondem a sua versão.

Rodar PHP em fim de vida é realmente perigoso? Sim. As versões EOL não recebem correções de segurança, portanto qualquer vulnerabilidade recém-descoberta permanece explorável indefinidamente. Combinado com a divulgação da versão, torna um site um alvo fácil e pré-qualificado.

Como sei qual versão de PHP estou a usar? O painel de controlo do seu provedor mostra-a, e muitos sites revelam-na no cabeçalho X-Powered-By. Atualizar para uma versão suportada (8.2+) costuma ser uma mudança de um clique.

Verifique o que o seu site revela

Veja se o seu site anuncia a sua stack — e o resto da sua postura de segurança — gratuito e privado.

Verifique o seu domínio → · O que os cabeçalhos do seu servidor revelam → · O boletim dos cabeçalhos de segurança HTTP → · Apenas dados agregados. Dados armazenados e processados na UE.