Defaults.Exposed › Отчёты
Половина PHP-веба работает на PHP, снятом с поддержки (2026)
Опубликовано 2026-06-29
Данные по состоянию на 2026-06-29 · методология v7. Агрегированные данные переписи из наблюдаемых заголовков ответа
X-Powered-Byпо 261 миллионам оценённых доменов. Доля EOL измеряется среди наиболее распространённых раскрываемых версий PHP; «окончание срока поддержки» означает версию, которая больше не получает исправлений безопасности (PHP ≤ 8.1 по состоянию на 2026 год). См. как мы оцениваем.
Огромная доля веба работает на PHP, который перестал получать исправления безопасности много лет назад — и с радостью сообщает об этом. Из 12 миллионов сайтов, раскрывающих свою версию PHP в заголовках ответа, 50,8% работают на версии с окончанием срока поддержки. Самая распространённая версия PHP во всём вебе — 7.4.33 — сборка, достигшая окончания срока поддержки в 2022 году, работающая на 1 889 273 сайтах. Они не просто устарели; они не получают исправлений безопасности и сообщают свою версию каждому сканеру, который спрашивает.
Что здесь означает «окончание срока поддержки»
Версии PHP получают примерно два года активной поддержки и ещё один год исправлений только безопасности. После этого — окончание срока поддержки — больше никаких исправлений безопасности, даже для критических уязвимостей. По состоянию на 2026-06-29 всё вплоть до PHP 8.1 включительно достигло окончания срока поддержки. Сайт на версии EOL, который подхватывает новую известную уязвимость, просто остаётся уязвимым.
Наиболее распространённые версии, которые сайты рекламируют через X-Powered-By:
| Раскрытая версия | Сайты |
|---|---|
| asp.net | 2 319 873 |
| php/7.4.33 | 1 889 273 |
| php/8.2.30 | 1 157 134 |
| php/8.3.30 | 1 082 519 |
Самая распространённая сборка PHP, 7.4.33, достигла окончания срока поддержки — опережая любую из всё ещё поддерживаемых версий.
Две проблемы, наложенные друг на друга
Это составная угроза:
- Программное обеспечение не пропатчено. 50,8% сайтов на PHP, раскрывающих свою версию, не могут получить исправление безопасности для вновь обнаруженной уязвимости. Они полагаются на то, что ничего не будет найдено — что не является стратегией безопасности.
- Они сами об этом сообщают. Раскрытие точной версии превращает сканирование в список покупок: злоумышленник фильтрует интернет по
7.4.33, сопоставляет с известными уязвимостями и получает список целей ещё до отправки единственного эксплойта. (См. что утекает через заголовки вашего сервера.)
Ни одну из проблем не дорого исправить — но они невидимы для владельца, который видит работающий сайт и никаких предупреждений.
Как уйти с PHP с окончанием срока поддержки
- Проверьте свою версию. Если это 8.1 или старше, она достигла окончания срока поддержки по состоянию на 2026-06-29.
- Обновитесь до поддерживаемой версии (8.2+). Большинство хостингов предлагают переключение версии PHP в один клик.
- Перестаньте её рекламировать. Удалите или сделайте обобщённым
X-Powered-By, чтобы не вручать злоумышленникам свою версию. - Проверьте повторно, чтобы подтвердить.
Часто задаваемые вопросы
Какая версия PHP наиболее распространена в вебе? 7.4.33 — и она достигла окончания срока поддержки. Она работает на 1 889 273 сайтах, больше, чем любая из всё ещё поддерживаемых версий, по состоянию на 2026-06-29.
Сколько сайтов работают на неподдерживаемой версии PHP? Среди 12 миллионов сайтов, раскрывающих версию, 50,8% работают на версии с окончанием срока поддержки (PHP ≤ 8.1). Истинная цифра, вероятно, выше, поскольку многие EOL-сайты скрывают свою версию.
Действительно ли опасно использовать PHP с окончанием срока поддержки? Да. Версии EOL не получают исправлений безопасности, поэтому любая вновь обнаруженная уязвимость остаётся эксплуатируемой бесконечно. В сочетании с раскрытием версии это делает сайт лёгкой, предварительно отобранной целью.
Как мне узнать, какую версию PHP я использую?
Панель управления вашего хостинга показывает её, и многие сайты раскрывают её в заголовке X-Powered-By. Обновление до поддерживаемой версии (8.2+) обычно делается в один клик.
Проверьте, что раскрывает ваш сайт
Узнайте, рекламирует ли ваш сайт свой стек — и остальную часть вашей защищённости — бесплатно и конфиденциально.
Проверьте свой домен → · Что утекает через заголовки вашего сервера → · Табель успеваемости заголовков безопасности HTTP → · Только агрегированные данные. Данные хранятся и обрабатываются в ЕС.