Defaults.Exposed

Defaults.Exposed › Rapoarte

Jumătate din web-ul PHP rulează versiuni PHP scoase din suport (2026)

Publicat 2026-06-29

Cifre valabile la 2026-06-29 · metodologia v7. Date agregate de recensământ din anteturile de răspuns X-Powered-By observate pe 261 milioane de domenii evaluate. Ponderea EOL este măsurată pe cele mai frecvente versiuni PHP dezvăluite; „end-of-life” înseamnă o versiune care nu mai primește remedieri de securitate (PHP ≤ 8.1 la nivelul anului 2026). Vezi cum evaluăm.

O parte uriașă a web-ului rulează PHP care a încetat să mai primească patch-uri de securitate de ani de zile — și o anunță cu plăcere. Dintre cele 12 milioane de site-uri care își dezvăluie versiunea PHP în anteturile de răspuns, 50.8% folosesc o versiune end-of-life. Cea mai răspândită versiune PHP de pe întregul web este 7.4.33 — o versiune care a ajuns la sfârșitul ciclului de viață în 2022 — rulând pe 1,889,273 site-uri. Acestea nu sunt doar învechite; nu primesc nicio remediere de securitate și își anunță versiunea oricărui scaner care întreabă.

Ce înseamnă „end-of-life” aici

Versiunile PHP primesc aproximativ doi ani de suport activ și încă unul de remedieri exclusiv de securitate. După aceea — end-of-life — niciun patch de securitate, nici măcar pentru vulnerabilități critice. La data de 2026-06-29, tot ce este până la și inclusiv PHP 8.1 este end-of-life. Un site pe o versiune EOL care capătă o nouă vulnerabilitate cunoscută rămâne pur și simplu vulnerabil.

Cele mai frecvente versiuni pe care site-urile le anunță prin X-Powered-By:

Versiune dezvăluităSite-uri
asp.net2,319,873
php/7.4.331,889,273
php/8.2.301,157,134
php/8.3.301,082,519

Cea mai răspândită versiune PHP, 7.4.33, este end-of-life — înaintea oricărei versiuni încă susținute.

Două probleme suprapuse

Aceasta este o expunere compusă:

  1. Software-ul este nepatch-uit. 50.8% dintre site-urile PHP care își dezvăluie versiunea nu pot primi o remediere de securitate pentru o nouă vulnerabilitate descoperită. Ele depind de faptul că nu se găsește nimic — ceea ce nu este o strategie de securitate.
  2. O anunță public. Dezvăluirea versiunii exacte transformă o scanare într-o listă de cumpărături: un atacator filtrează internetul după 7.4.33, face referințe încrucișate cu vulnerabilitățile cunoscute și are o listă de ținte înainte de a trimite măcar un singur exploit. (Vezi ce dezvăluie anteturile serverului tău.)

Nicio problemă nu este costisitoare de remediat — dar sunt invizibile pentru proprietar, care vede un site funcțional și niciun avertisment.

Cum să renunți la PHP end-of-life

  1. Verifică-ți versiunea. Dacă este 8.1 sau mai veche, este end-of-life la data de 2026-06-29.
  2. Actualizează la o versiune susținută (8.2+). Majoritatea gazdelor oferă o comutare a versiunii PHP cu un singur clic.
  3. Nu mai anunța versiunea. Elimină sau generalizează X-Powered-By ca să nu le oferi atacatorilor versiunea ta.
  4. Reverifică pentru a confirma.

Întrebări frecvente

Care este cea mai răspândită versiune PHP de pe web? 7.4.33 — și este end-of-life. Rulează pe 1,889,273 site-uri, mai mult decât orice versiune încă susținută, la data de 2026-06-29.

Câte site-uri web rulează o versiune PHP nesusținută? Dintre cele 12 milioane de site-uri care își dezvăluie versiunea, 50.8% rulează o versiune end-of-life (PHP ≤ 8.1). Cifra reală este probabil mai mare, deoarece multe site-uri EOL își ascund versiunea.

Este cu adevărat periculos să rulezi PHP end-of-life? Da. Versiunile EOL nu primesc patch-uri de securitate, așa că orice vulnerabilitate nou descoperită rămâne exploatabilă pe termen nedefinit. Combinată cu dezvăluirea versiunii, transformă un site într-o țintă ușoară și precalificată.

Cum aflu ce versiune PHP folosesc? Panoul de control al gazdei tale o afișează, iar multe site-uri o dezvăluie în anteturile X-Powered-By. Actualizarea la o versiune susținută (8.2+) este de obicei o schimbare cu un singur clic.

Verifică ce dezvăluie site-ul tău

Vezi dacă site-ul tău își anunță stiva — și restul posturii tale de securitate — gratuit și privat.

Verifică-ți domeniul → · Ce dezvăluie anteturile serverului tău → · Buletinul de note al anteturilor de securitate HTTP → · Doar date agregate. Date stocate și procesate în UE.