Defaults.Exposed › Raporlar
PHP Web'inin Yarısı Ömrü Dolmuş PHP Çalıştırıyor (2026)
Yayımlanma 2026-06-29
Rakamlar 2026-06-29 itibarıyla · metodoloji v7. 261 milyon derecelendirilmiş alan adı genelinde gözlemlenen
X-Powered-Byyanıt başlıklarından elde edilen toplu sayım verileri. EOL payı, en yaygın olarak ifşa edilen PHP sürümleri arasında ölçülür; “kullanım ömrünün sonu”, artık güvenlik düzeltmeleri almayan bir sürüm anlamına gelir (2026 itibarıyla PHP ≤ 8.1). Nasıl derecelendirdiğimize bakın.
Web’in çok büyük bir kısmı, yıllar önce güvenlik yamaları almayı bırakan bir PHP çalıştırıyor — ve bunu size seve seve söylüyor. PHP sürümünü yanıt başlıklarında ifşa eden 12 milyon sitenin 50.8%‘i kullanım ömrünün sonuna gelmiş bir sürüm çalıştırıyor. Tüm web’deki açık ara en yaygın tek PHP sürümü, 2022’de kullanım ömrünün sonuna ulaşan bir derleme olan 7.4.33 olup 1,889,273 sitede çalışmaktadır. Bunlar yalnızca güncel değil; hiçbir güvenlik düzeltmesi almıyorlar ve soran her tarayıcıya sürümlerini duyuruyorlar.
Burada “kullanım ömrünün sonu” ne anlama geliyor
PHP sürümleri yaklaşık iki yıl etkin destek ve bir yıl daha yalnızca güvenlik düzeltmeleri alır. Bundan sonra — kullanım ömrünün sonu — kritik güvenlik açıkları için bile artık güvenlik yaması yok. 2026-06-29 itibarıyla, PHP 8.1 dahil ve öncesindeki her şey kullanım ömrünün sonuna gelmiştir. Yeni bilinen bir güvenlik açığı kapan, EOL sürümündeki bir site sadece savunmasız kalır.
Sitelerin X-Powered-By aracılığıyla duyurduğu en yaygın sürümler:
| İfşa edilen sürüm | Siteler |
|---|---|
| asp.net | 2,319,873 |
| php/7.4.33 | 1,889,273 |
| php/8.2.30 | 1,157,134 |
| php/8.3.30 | 1,082,519 |
En yaygın PHP derlemesi olan 7.4.33, hâlâ desteklenen her sürümün önünde kullanım ömrünün sonuna gelmiştir.
Üst üste yığılmış iki sorun
Bu, bileşik bir maruziyettir:
- Yazılım yamasız. Sürümünü ifşa eden PHP sitelerinin 50.8%‘i, yeni keşfedilen bir kusur için güvenlik düzeltmesi alamaz. Hiçbir şeyin bulunmamasına bel bağlarlar — ki bu bir güvenlik stratejisi değildir.
- Bunu yayınlıyorlar. Tam sürümü ifşa etmek, bir taramayı alışveriş listesine dönüştürür: bir saldırgan interneti
7.4.33için filtreler, bilinen güvenlik açıklarıyla çapraz referans yapar ve tek bir istismar göndermeden önce bir hedef listesine sahip olur. (Sunucu başlıklarınızın neyi sızdırdığına bakın.)
Sorunların hiçbiri düzeltmesi pahalı değil — ancak çalışan bir site ve hiçbir uyarı görmeyen sahip için görünmezler.
Kullanım ömrünün sonundaki PHP’den nasıl kurtulunur
- Sürümünüzü kontrol edin. 8.1 veya daha eskiyse, 2026-06-29 itibarıyla kullanım ömrünün sonundadır.
- Desteklenen bir sürüme yükseltin (8.2+). Çoğu sağlayıcı tek tıkla PHP sürüm değişimi sunar.
- Onu duyurmayı bırakın.
X-Powered-By’ı kaldırın veya genelleştirin, böylece sürümünüzü saldırganlara vermezsiniz. - Onaylamak için yeniden kontrol edin.
Sıkça sorulan sorular
Web’deki en yaygın PHP sürümü nedir? 7.4.33 — ve kullanım ömrünün sonundadır. 2026-06-29 itibarıyla, hâlâ desteklenen herhangi bir sürümden daha fazla, 1,889,273 sitede çalışmaktadır.
Kaç web sitesi desteklenmeyen bir PHP sürümü çalıştırıyor? Bir sürüm ifşa eden 12 milyon site arasında, 50.8%‘i kullanım ömrünün sonundaki bir sürüm (PHP ≤ 8.1) çalıştırıyor. Birçok EOL sitesi sürümünü gizlediği için gerçek rakam muhtemelen daha yüksektir.
Kullanım ömrünün sonundaki PHP’yi çalıştırmak gerçekten tehlikeli mi? Evet. EOL sürümleri hiçbir güvenlik yaması almaz, dolayısıyla yeni keşfedilen herhangi bir güvenlik açığı süresiz olarak istismar edilebilir kalır. Sürüm ifşasıyla birleştiğinde, bir siteyi kolay, ön elemeden geçmiş bir hedef hâline getirir.
Hangi PHP sürümünü kullandığımı nasıl bilirim?
Sağlayıcınızın kontrol paneli onu gösterir ve birçok site bunu X-Powered-By başlığında sızdırır. Desteklenen bir sürüme (8.2+) yükseltmek genellikle tek tıklık bir değişikliktir.
Sitenizin neyi açığa çıkardığını kontrol edin
Sitenizin yığınını — ve güvenlik duruşunuzun geri kalanını — duyurup duyurmadığını ücretsiz ve gizli olarak görün.
Alan adınızı kontrol edin → · Sunucu başlıklarınızın neyi sızdırdığı → · HTTP güvenlik başlığı karnesi → · Yalnızca toplu veriler. Veriler AB’de depolanır ve işlenir.