Defaults.Exposed › รายงาน
ครึ่งหนึ่งของเว็บ PHP ใช้ PHP ที่หมดอายุการสนับสนุนแล้ว (2026)
เผยแพร่ 2026-06-29
ตัวเลข ณ 2026-06-29 · วิธีการ v7 ข้อมูลสำมะโนรวมจาก response headers
X-Powered-Byที่พบจาก 261 ล้านโดเมนที่ได้รับการให้คะแนน ส่วนแบ่ง EOL วัดจาก PHP เวอร์ชันที่เปิดเผยที่พบมากที่สุด “หมดอายุ” หมายถึงรุ่นที่ไม่ได้รับการแก้ไขความปลอดภัยอีกต่อไป (PHP ≤ 8.1 ณ ปี 2026) ดู วิธีที่เราให้คะแนน
ส่วนใหญ่ของเว็บใช้ PHP ที่หยุดรับ security patches มาหลายปีแล้ว — และยินดีบอกให้คุณรู้ จาก 12 ล้าน เว็บไซต์ที่เปิดเผยเวอร์ชัน PHP ใน response headers 50.8% อยู่บนรุ่นที่หมดอายุ เวอร์ชัน PHP ที่พบมากที่สุดบนเว็บทั้งหมดคือ 7.4.33 — build ที่ถึงจุดสิ้นสุดอายุในปี 2022 — ทำงานบน 1,889,273 เว็บไซต์ สิ่งเหล่านี้ไม่ใช่แค่ล้าสมัย พวกมันไม่ได้รับ security fixes และพวกมันประกาศเวอร์ชันของตัวเองให้ทุก scanner ที่ถาม
”หมดอายุ” หมายความว่าอะไรที่นี่
PHP releases ได้รับการสนับสนุน active ประมาณสองปีและอีกหนึ่งปีของการแก้ไขความปลอดภัยเท่านั้น หลังจากนั้น — หมดอายุ — ไม่มี security patches อีกต่อไป แม้แต่สำหรับช่องโหว่ที่สำคัญ ณ 2026-06-29 ทุกอย่างจนถึงและรวมถึง PHP 8.1 หมดอายุแล้ว เว็บไซต์บนเวอร์ชัน EOL ที่ค้นพบช่องโหว่ที่รู้จักใหม่จะยังคงมีช่องโหว่ต่อไป
เวอร์ชันที่พบมากที่สุดที่เว็บไซต์โฆษณาผ่าน X-Powered-By:
| เวอร์ชันที่เปิดเผย | เว็บไซต์ |
|---|---|
| asp.net | 2,319,873 |
| php/7.4.33 | 1,889,273 |
| php/8.2.30 | 1,157,134 |
| php/8.3.30 | 1,082,519 |
PHP build ที่พบมากที่สุด 7.4.33 หมดอายุแล้ว — อยู่ข้างหน้าทุก release ที่ยังได้รับการสนับสนุน
ปัญหาสองอย่างที่ซ้อนทับกัน
นี่เป็นการเปิดเผยแบบผสม:
- ซอฟต์แวร์ไม่ได้รับการแพตช์ 50.8% ของเว็บไซต์ PHP ที่เปิดเผยเวอร์ชันไม่สามารถรับ security fix สำหรับข้อบกพร่องที่ค้นพบใหม่ได้ พวกมันขึ้นอยู่กับการที่ไม่มีใครค้นพบอะไร — ซึ่งไม่ใช่กลยุทธ์ความปลอดภัย
- พวกมันออกอากาศสิ่งนี้ การเปิดเผยเวอร์ชันที่แน่นอนเปลี่ยน scan ให้เป็นรายการช้อปปิ้ง: ผู้โจมตีกรองอินเทอร์เน็ตสำหรับ
7.4.33อ้างอิงช่องโหว่ที่รู้จัก และมีรายการเป้าหมายก่อนส่ง exploit แม้แต่อันเดียว (ดู สิ่งที่ server headers ของคุณรั่วไหล)
ไม่มีปัญหาใดมีค่าใช้จ่ายในการแก้ไข — แต่พวกมันมองไม่เห็นสำหรับเจ้าของ ซึ่งเห็นเว็บไซต์ที่ทำงานได้และไม่มีคำเตือน
วิธีออกจาก PHP ที่หมดอายุ
- ตรวจสอบเวอร์ชันของคุณ ถ้ามันคือ 8.1 หรือเก่ากว่า มันหมดอายุ ณ 2026-06-29
- อัปเกรดเป็น release ที่ได้รับการสนับสนุน (8.2+) hosts ส่วนใหญ่มีการสลับเวอร์ชัน PHP แบบคลิกเดียว
- หยุดโฆษณา ลบหรือทำให้
X-Powered-Byเป็นทั่วไปเพื่อไม่ให้ส่งเวอร์ชันของคุณให้ผู้โจมตี - ตรวจสอบอีกครั้ง เพื่อยืนยัน
คำถามที่พบบ่อย
เวอร์ชัน PHP ที่พบมากที่สุดบนเว็บคืออะไร? 7.4.33 — และมันหมดอายุแล้ว มันทำงานบน 1,889,273 เว็บไซต์ มากกว่า release ใด ๆ ที่ยังได้รับการสนับสนุน ณ 2026-06-29
เว็บไซต์กี่แห่งที่ใช้เวอร์ชัน PHP ที่ไม่ได้รับการสนับสนุน? ในบรรดา 12 ล้านเว็บไซต์ที่เปิดเผยเวอร์ชัน 50.8% ใช้ release ที่หมดอายุ (PHP ≤ 8.1) ตัวเลขจริงน่าจะสูงกว่า เนื่องจากเว็บไซต์ EOL หลายแห่งซ่อนเวอร์ชันของพวกมัน
การใช้ PHP ที่หมดอายุอันตรายจริงหรือไม่? ใช่ เวอร์ชัน EOL ไม่ได้รับ security patches ดังนั้นช่องโหว่ที่ค้นพบใหม่ใด ๆ ก็ตามจะยังถูก exploit ได้อย่างไม่มีกำหนด รวมกับการเปิดเผยเวอร์ชัน มันทำให้เว็บไซต์เป็นเป้าหมายที่ง่ายที่ผ่านการคัดเลือกมาแล้ว
ฉันจะรู้ได้อย่างไรว่าฉันใช้ PHP เวอร์ชันอะไร?
control panel ของ host ของคุณแสดงมัน และหลายเว็บไซต์รั่วไหลมันใน header X-Powered-By การอัปเกรดเป็นเวอร์ชันที่ได้รับการสนับสนุน (8.2+) มักเป็นการเปลี่ยนแปลงแบบคลิกเดียว
ตรวจสอบสิ่งที่เว็บไซต์ของคุณเปิดเผย
ดูว่าเว็บไซต์ของคุณโฆษณา stack ของมัน — และท่าทีความปลอดภัยที่เหลือ — ฟรีและส่วนตัว
ตรวจสอบโดเมนของคุณ → · สิ่งที่ server headers ของคุณรั่วไหล → · รายงาน HTTP security header → · เฉพาะข้อมูลรวม ข้อมูลจัดเก็บและประมวลผลในสหภาพยุโรป