Defaults.Exposed

Defaults.Exposed › Отчёты

Половина PHP-веба работает на PHP, снятом с поддержки (2026)

Опубликовано 2026-06-29

Данные по состоянию на 2026-06-29 · методология v7. Агрегированные данные переписи из наблюдаемых заголовков ответа X-Powered-By по 261 миллионам оценённых доменов. Доля EOL измеряется среди наиболее распространённых раскрываемых версий PHP; «окончание срока поддержки» означает версию, которая больше не получает исправлений безопасности (PHP ≤ 8.1 по состоянию на 2026 год). См. как мы оцениваем.

Огромная доля веба работает на PHP, который перестал получать исправления безопасности много лет назад — и с радостью сообщает об этом. Из 12 миллионов сайтов, раскрывающих свою версию PHP в заголовках ответа, 50,8% работают на версии с окончанием срока поддержки. Самая распространённая версия PHP во всём вебе — 7.4.33 — сборка, достигшая окончания срока поддержки в 2022 году, работающая на 1 889 273 сайтах. Они не просто устарели; они не получают исправлений безопасности и сообщают свою версию каждому сканеру, который спрашивает.

Что здесь означает «окончание срока поддержки»

Версии PHP получают примерно два года активной поддержки и ещё один год исправлений только безопасности. После этого — окончание срока поддержки — больше никаких исправлений безопасности, даже для критических уязвимостей. По состоянию на 2026-06-29 всё вплоть до PHP 8.1 включительно достигло окончания срока поддержки. Сайт на версии EOL, который подхватывает новую известную уязвимость, просто остаётся уязвимым.

Наиболее распространённые версии, которые сайты рекламируют через X-Powered-By:

Раскрытая версияСайты
asp.net2 319 873
php/7.4.331 889 273
php/8.2.301 157 134
php/8.3.301 082 519

Самая распространённая сборка PHP, 7.4.33, достигла окончания срока поддержки — опережая любую из всё ещё поддерживаемых версий.

Две проблемы, наложенные друг на друга

Это составная угроза:

  1. Программное обеспечение не пропатчено. 50,8% сайтов на PHP, раскрывающих свою версию, не могут получить исправление безопасности для вновь обнаруженной уязвимости. Они полагаются на то, что ничего не будет найдено — что не является стратегией безопасности.
  2. Они сами об этом сообщают. Раскрытие точной версии превращает сканирование в список покупок: злоумышленник фильтрует интернет по 7.4.33, сопоставляет с известными уязвимостями и получает список целей ещё до отправки единственного эксплойта. (См. что утекает через заголовки вашего сервера.)

Ни одну из проблем не дорого исправить — но они невидимы для владельца, который видит работающий сайт и никаких предупреждений.

Как уйти с PHP с окончанием срока поддержки

  1. Проверьте свою версию. Если это 8.1 или старше, она достигла окончания срока поддержки по состоянию на 2026-06-29.
  2. Обновитесь до поддерживаемой версии (8.2+). Большинство хостингов предлагают переключение версии PHP в один клик.
  3. Перестаньте её рекламировать. Удалите или сделайте обобщённым X-Powered-By, чтобы не вручать злоумышленникам свою версию.
  4. Проверьте повторно, чтобы подтвердить.

Часто задаваемые вопросы

Какая версия PHP наиболее распространена в вебе? 7.4.33 — и она достигла окончания срока поддержки. Она работает на 1 889 273 сайтах, больше, чем любая из всё ещё поддерживаемых версий, по состоянию на 2026-06-29.

Сколько сайтов работают на неподдерживаемой версии PHP? Среди 12 миллионов сайтов, раскрывающих версию, 50,8% работают на версии с окончанием срока поддержки (PHP ≤ 8.1). Истинная цифра, вероятно, выше, поскольку многие EOL-сайты скрывают свою версию.

Действительно ли опасно использовать PHP с окончанием срока поддержки? Да. Версии EOL не получают исправлений безопасности, поэтому любая вновь обнаруженная уязвимость остаётся эксплуатируемой бесконечно. В сочетании с раскрытием версии это делает сайт лёгкой, предварительно отобранной целью.

Как мне узнать, какую версию PHP я использую? Панель управления вашего хостинга показывает её, и многие сайты раскрывают её в заголовке X-Powered-By. Обновление до поддерживаемой версии (8.2+) обычно делается в один клик.

Проверьте, что раскрывает ваш сайт

Узнайте, рекламирует ли ваш сайт свой стек — и остальную часть вашей защищённости — бесплатно и конфиденциально.

Проверьте свой домен → · Что утекает через заголовки вашего сервера → · Табель успеваемости заголовков безопасности HTTP → · Только агрегированные данные. Данные хранятся и обрабатываются в ЕС.