Defaults.Exposed

Defaults.Exposed › Rapporter

Hälften av PHP-webben kör PHP som nått slutet av sin livscykel (2026)

Publicerad 2026-06-29

Siffror per 2026-06-29 · metodik v7. Aggregerade folkräkningsdata från observerade X-Powered-By-svarsrubriker över 261 miljoner betygsatta domäner. EOL-andelen mäts bland de vanligaste avslöjade PHP-versionerna; “slutet på livscykeln” betyder en version som inte längre får säkerhetsfixar (PHP ≤ 8.1 per 2026). Se hur vi betygsätter.

En enorm del av webben kör PHP som slutade få säkerhetspatchar för flera år sedan — och berättar gärna om det. Av de 12 miljoner webbplatser som avslöjar sin PHP-version i svarsrubrikerna kör 50.8% en version vid slutet av sin livscykel. Den överlägset vanligaste PHP-versionen på hela webben är 7.4.33 — en build som nådde slutet av sin livscykel 2022 — som körs på 1,889,273 webbplatser. Dessa är inte bara föråldrade; de får inga säkerhetsfixar och tillkännager sin version för varje skanner som frågar.

Vad “slutet på livscykeln” betyder här

PHP-versioner får ungefär två års aktivt stöd och ytterligare ett år med enbart säkerhetsfixar. Efter det — slutet på livscykeln — inga fler säkerhetspatchar, inte ens för kritiska sårbarheter. Per 2026-06-29 är allt upp till och med PHP 8.1 vid slutet av sin livscykel. En webbplats på en EOL-version som drabbas av en ny känd sårbarhet förblir helt enkelt sårbar.

De vanligaste versionerna som webbplatser annonserar via X-Powered-By:

Avslöjad versionWebbplatser
asp.net2,319,873
php/7.4.331,889,273
php/8.2.301,157,134
php/8.3.301,082,519

Den vanligaste PHP-builden, 7.4.33, är vid slutet av sin livscykel — före varje version som fortfarande stöds.

Två problem staplade på varandra

Detta är en sammansatt exponering:

  1. Programvaran är opatchad. 50.8% av de PHP-webbplatser som avslöjar sin version kan inte få en säkerhetsfix för en nyupptäckt brist. De förlitar sig på att inget hittas — vilket inte är någon säkerhetsstrategi.
  2. De basunerar ut det. Att avslöja den exakta versionen förvandlar en skanning till en inköpslista: en angripare filtrerar internet efter 7.4.33, korsrefererar med kända sårbarheter och har en mållista innan en enda exploit skickas. (Se vad dina serverrubriker läcker.)

Inget av problemen är dyrt att åtgärda — men de är osynliga för ägaren, som ser en fungerande webbplats och ingen varning.

Hur du kommer bort från PHP vid slutet av livscykeln

  1. Kontrollera din version. Om det är 8.1 eller äldre är den vid slutet av sin livscykel per 2026-06-29.
  2. Uppgradera till en version som stöds (8.2+). De flesta värdar erbjuder ett byte av PHP-version med ett klick.
  3. Sluta annonsera den. Ta bort eller gör X-Powered-By generisk så att du inte lämnar ut din version till angripare.
  4. Kontrollera igen för att bekräfta.

Vanliga frågor

Vilken är den vanligaste PHP-versionen på webben? 7.4.33 — och den är vid slutet av sin livscykel. Den körs på 1,889,273 webbplatser, fler än någon version som fortfarande stöds, per 2026-06-29.

Hur många webbplatser kör en PHP-version som inte stöds? Bland de 12 miljoner webbplatser som avslöjar en version kör 50.8% en version vid slutet av livscykeln (PHP ≤ 8.1). Den verkliga siffran är sannolikt högre, eftersom många EOL-webbplatser döljer sin version.

Är det verkligen farligt att köra PHP vid slutet av livscykeln? Ja. EOL-versioner får inga säkerhetspatchar, så varje nyupptäckt sårbarhet förblir exploaterbar på obestämd tid. I kombination med versionsavslöjande gör det en webbplats till ett enkelt, förkvalificerat mål.

Hur vet jag vilken PHP-version jag har? Din värds kontrollpanel visar den, och många webbplatser läcker den i X-Powered-By-rubriken. Att uppgradera till en version som stöds (8.2+) är vanligtvis en ändring med ett klick.

Kontrollera vad din webbplats avslöjar

Se om din webbplats annonserar sin teknikstack — och resten av din säkerhetsställning — gratis och privat.

Kontrollera din domän → · Vad dina serverrubriker läcker → · Betygsrapporten för HTTP-säkerhetsrubriker → · Endast aggregerade data. Data lagras och behandlas inom EU.