Defaults.Exposed

Defaults.Exposed › รายงาน

ครึ่งหนึ่งของเว็บ PHP ใช้ PHP ที่หมดอายุการสนับสนุนแล้ว (2026)

เผยแพร่ 2026-06-29

ตัวเลข ณ 2026-06-29 · วิธีการ v7 ข้อมูลสำมะโนรวมจาก response headers X-Powered-By ที่พบจาก 261 ล้านโดเมนที่ได้รับการให้คะแนน ส่วนแบ่ง EOL วัดจาก PHP เวอร์ชันที่เปิดเผยที่พบมากที่สุด “หมดอายุ” หมายถึงรุ่นที่ไม่ได้รับการแก้ไขความปลอดภัยอีกต่อไป (PHP ≤ 8.1 ณ ปี 2026) ดู วิธีที่เราให้คะแนน

ส่วนใหญ่ของเว็บใช้ PHP ที่หยุดรับ security patches มาหลายปีแล้ว — และยินดีบอกให้คุณรู้ จาก 12 ล้าน เว็บไซต์ที่เปิดเผยเวอร์ชัน PHP ใน response headers 50.8% อยู่บนรุ่นที่หมดอายุ เวอร์ชัน PHP ที่พบมากที่สุดบนเว็บทั้งหมดคือ 7.4.33 — build ที่ถึงจุดสิ้นสุดอายุในปี 2022 — ทำงานบน 1,889,273 เว็บไซต์ สิ่งเหล่านี้ไม่ใช่แค่ล้าสมัย พวกมันไม่ได้รับ security fixes และพวกมันประกาศเวอร์ชันของตัวเองให้ทุก scanner ที่ถาม

”หมดอายุ” หมายความว่าอะไรที่นี่

PHP releases ได้รับการสนับสนุน active ประมาณสองปีและอีกหนึ่งปีของการแก้ไขความปลอดภัยเท่านั้น หลังจากนั้น — หมดอายุ — ไม่มี security patches อีกต่อไป แม้แต่สำหรับช่องโหว่ที่สำคัญ ณ 2026-06-29 ทุกอย่างจนถึงและรวมถึง PHP 8.1 หมดอายุแล้ว เว็บไซต์บนเวอร์ชัน EOL ที่ค้นพบช่องโหว่ที่รู้จักใหม่จะยังคงมีช่องโหว่ต่อไป

เวอร์ชันที่พบมากที่สุดที่เว็บไซต์โฆษณาผ่าน X-Powered-By:

เวอร์ชันที่เปิดเผยเว็บไซต์
asp.net2,319,873
php/7.4.331,889,273
php/8.2.301,157,134
php/8.3.301,082,519

PHP build ที่พบมากที่สุด 7.4.33 หมดอายุแล้ว — อยู่ข้างหน้าทุก release ที่ยังได้รับการสนับสนุน

ปัญหาสองอย่างที่ซ้อนทับกัน

นี่เป็นการเปิดเผยแบบผสม:

  1. ซอฟต์แวร์ไม่ได้รับการแพตช์ 50.8% ของเว็บไซต์ PHP ที่เปิดเผยเวอร์ชันไม่สามารถรับ security fix สำหรับข้อบกพร่องที่ค้นพบใหม่ได้ พวกมันขึ้นอยู่กับการที่ไม่มีใครค้นพบอะไร — ซึ่งไม่ใช่กลยุทธ์ความปลอดภัย
  2. พวกมันออกอากาศสิ่งนี้ การเปิดเผยเวอร์ชันที่แน่นอนเปลี่ยน scan ให้เป็นรายการช้อปปิ้ง: ผู้โจมตีกรองอินเทอร์เน็ตสำหรับ 7.4.33 อ้างอิงช่องโหว่ที่รู้จัก และมีรายการเป้าหมายก่อนส่ง exploit แม้แต่อันเดียว (ดู สิ่งที่ server headers ของคุณรั่วไหล)

ไม่มีปัญหาใดมีค่าใช้จ่ายในการแก้ไข — แต่พวกมันมองไม่เห็นสำหรับเจ้าของ ซึ่งเห็นเว็บไซต์ที่ทำงานได้และไม่มีคำเตือน

วิธีออกจาก PHP ที่หมดอายุ

  1. ตรวจสอบเวอร์ชันของคุณ ถ้ามันคือ 8.1 หรือเก่ากว่า มันหมดอายุ ณ 2026-06-29
  2. อัปเกรดเป็น release ที่ได้รับการสนับสนุน (8.2+) hosts ส่วนใหญ่มีการสลับเวอร์ชัน PHP แบบคลิกเดียว
  3. หยุดโฆษณา ลบหรือทำให้ X-Powered-By เป็นทั่วไปเพื่อไม่ให้ส่งเวอร์ชันของคุณให้ผู้โจมตี
  4. ตรวจสอบอีกครั้ง เพื่อยืนยัน

คำถามที่พบบ่อย

เวอร์ชัน PHP ที่พบมากที่สุดบนเว็บคืออะไร? 7.4.33 — และมันหมดอายุแล้ว มันทำงานบน 1,889,273 เว็บไซต์ มากกว่า release ใด ๆ ที่ยังได้รับการสนับสนุน ณ 2026-06-29

เว็บไซต์กี่แห่งที่ใช้เวอร์ชัน PHP ที่ไม่ได้รับการสนับสนุน? ในบรรดา 12 ล้านเว็บไซต์ที่เปิดเผยเวอร์ชัน 50.8% ใช้ release ที่หมดอายุ (PHP ≤ 8.1) ตัวเลขจริงน่าจะสูงกว่า เนื่องจากเว็บไซต์ EOL หลายแห่งซ่อนเวอร์ชันของพวกมัน

การใช้ PHP ที่หมดอายุอันตรายจริงหรือไม่? ใช่ เวอร์ชัน EOL ไม่ได้รับ security patches ดังนั้นช่องโหว่ที่ค้นพบใหม่ใด ๆ ก็ตามจะยังถูก exploit ได้อย่างไม่มีกำหนด รวมกับการเปิดเผยเวอร์ชัน มันทำให้เว็บไซต์เป็นเป้าหมายที่ง่ายที่ผ่านการคัดเลือกมาแล้ว

ฉันจะรู้ได้อย่างไรว่าฉันใช้ PHP เวอร์ชันอะไร? control panel ของ host ของคุณแสดงมัน และหลายเว็บไซต์รั่วไหลมันใน header X-Powered-By การอัปเกรดเป็นเวอร์ชันที่ได้รับการสนับสนุน (8.2+) มักเป็นการเปลี่ยนแปลงแบบคลิกเดียว

ตรวจสอบสิ่งที่เว็บไซต์ของคุณเปิดเผย

ดูว่าเว็บไซต์ของคุณโฆษณา stack ของมัน — และท่าทีความปลอดภัยที่เหลือ — ฟรีและส่วนตัว

ตรวจสอบโดเมนของคุณ → · สิ่งที่ server headers ของคุณรั่วไหล → · รายงาน HTTP security header → · เฉพาะข้อมูลรวม ข้อมูลจัดเก็บและประมวลผลในสหภาพยุโรป