Defaults.Exposed › Rapporter
Hälften av PHP-webben kör PHP som nått slutet av sin livscykel (2026)
Publicerad 2026-06-29
Siffror per 2026-06-29 · metodik v7. Aggregerade folkräkningsdata från observerade
X-Powered-By-svarsrubriker över 261 miljoner betygsatta domäner. EOL-andelen mäts bland de vanligaste avslöjade PHP-versionerna; “slutet på livscykeln” betyder en version som inte längre får säkerhetsfixar (PHP ≤ 8.1 per 2026). Se hur vi betygsätter.
En enorm del av webben kör PHP som slutade få säkerhetspatchar för flera år sedan — och berättar gärna om det. Av de 12 miljoner webbplatser som avslöjar sin PHP-version i svarsrubrikerna kör 50.8% en version vid slutet av sin livscykel. Den överlägset vanligaste PHP-versionen på hela webben är 7.4.33 — en build som nådde slutet av sin livscykel 2022 — som körs på 1,889,273 webbplatser. Dessa är inte bara föråldrade; de får inga säkerhetsfixar och tillkännager sin version för varje skanner som frågar.
Vad “slutet på livscykeln” betyder här
PHP-versioner får ungefär två års aktivt stöd och ytterligare ett år med enbart säkerhetsfixar. Efter det — slutet på livscykeln — inga fler säkerhetspatchar, inte ens för kritiska sårbarheter. Per 2026-06-29 är allt upp till och med PHP 8.1 vid slutet av sin livscykel. En webbplats på en EOL-version som drabbas av en ny känd sårbarhet förblir helt enkelt sårbar.
De vanligaste versionerna som webbplatser annonserar via X-Powered-By:
| Avslöjad version | Webbplatser |
|---|---|
| asp.net | 2,319,873 |
| php/7.4.33 | 1,889,273 |
| php/8.2.30 | 1,157,134 |
| php/8.3.30 | 1,082,519 |
Den vanligaste PHP-builden, 7.4.33, är vid slutet av sin livscykel — före varje version som fortfarande stöds.
Två problem staplade på varandra
Detta är en sammansatt exponering:
- Programvaran är opatchad. 50.8% av de PHP-webbplatser som avslöjar sin version kan inte få en säkerhetsfix för en nyupptäckt brist. De förlitar sig på att inget hittas — vilket inte är någon säkerhetsstrategi.
- De basunerar ut det. Att avslöja den exakta versionen förvandlar en skanning till en inköpslista: en angripare filtrerar internet efter
7.4.33, korsrefererar med kända sårbarheter och har en mållista innan en enda exploit skickas. (Se vad dina serverrubriker läcker.)
Inget av problemen är dyrt att åtgärda — men de är osynliga för ägaren, som ser en fungerande webbplats och ingen varning.
Hur du kommer bort från PHP vid slutet av livscykeln
- Kontrollera din version. Om det är 8.1 eller äldre är den vid slutet av sin livscykel per 2026-06-29.
- Uppgradera till en version som stöds (8.2+). De flesta värdar erbjuder ett byte av PHP-version med ett klick.
- Sluta annonsera den. Ta bort eller gör
X-Powered-Bygenerisk så att du inte lämnar ut din version till angripare. - Kontrollera igen för att bekräfta.
Vanliga frågor
Vilken är den vanligaste PHP-versionen på webben? 7.4.33 — och den är vid slutet av sin livscykel. Den körs på 1,889,273 webbplatser, fler än någon version som fortfarande stöds, per 2026-06-29.
Hur många webbplatser kör en PHP-version som inte stöds? Bland de 12 miljoner webbplatser som avslöjar en version kör 50.8% en version vid slutet av livscykeln (PHP ≤ 8.1). Den verkliga siffran är sannolikt högre, eftersom många EOL-webbplatser döljer sin version.
Är det verkligen farligt att köra PHP vid slutet av livscykeln? Ja. EOL-versioner får inga säkerhetspatchar, så varje nyupptäckt sårbarhet förblir exploaterbar på obestämd tid. I kombination med versionsavslöjande gör det en webbplats till ett enkelt, förkvalificerat mål.
Hur vet jag vilken PHP-version jag har?
Din värds kontrollpanel visar den, och många webbplatser läcker den i X-Powered-By-rubriken. Att uppgradera till en version som stöds (8.2+) är vanligtvis en ändring med ett klick.
Kontrollera vad din webbplats avslöjar
Se om din webbplats annonserar sin teknikstack — och resten av din säkerhetsställning — gratis och privat.
Kontrollera din domän → · Vad dina serverrubriker läcker → · Betygsrapporten för HTTP-säkerhetsrubriker → · Endast aggregerade data. Data lagras och behandlas inom EU.