Defaults.Exposed

Defaults.Exposed › Báo cáo

Một nửa web dùng PHP đang chạy PHP đã hết vòng đời (2026)

Đã xuất bản 2026-06-29

Số liệu tính đến 2026-06-29 · phương pháp v7. Dữ liệu điều tra tổng hợp từ các tiêu đề phản hồi X-Powered-By được quan sát trên 261 triệu tên miền được chấm điểm. Tỷ lệ EOL được đo trên các phiên bản PHP được tiết lộ phổ biến nhất; “hết vòng đời” nghĩa là một bản phát hành không còn nhận được bản vá bảo mật (PHP ≤ 8.1 tính đến năm 2026). Xem cách chúng tôi chấm điểm.

Một phần lớn của web đang chạy PHP đã ngừng nhận bản vá bảo mật từ nhiều năm trước — và sẵn lòng cho bạn biết điều đó. Trong số 12 triệu trang web tiết lộ phiên bản PHP của họ trong các tiêu đề phản hồi, 50.8% đang dùng một bản phát hành hết vòng đời. Phiên bản PHP đơn lẻ phổ biến nhất trên toàn bộ web là 7.4.33 — một bản dựng đã hết vòng đời vào năm 2022 — đang chạy trên 1,889,273 trang web. Chúng không chỉ lỗi thời; chúng không nhận được bản vá bảo mật nào, và chúng thông báo phiên bản của mình cho mọi máy quét hỏi đến.

”Hết vòng đời” ở đây nghĩa là gì

Các bản phát hành PHP nhận được khoảng hai năm hỗ trợ tích cực và thêm một năm chỉ sửa lỗi bảo mật. Sau đó — hết vòng đời — không còn bản vá bảo mật nào, kể cả cho các lỗ hổng nghiêm trọng. Tính đến 2026-06-29, mọi phiên bản tính đến và bao gồm PHP 8.1 đều đã hết vòng đời. Một trang web dùng phiên bản EOL gặp phải một lỗ hổng đã biết mới đơn giản là vẫn dễ bị tấn công.

Các phiên bản phổ biến nhất mà các trang web quảng bá qua X-Powered-By:

Phiên bản được tiết lộTrang web
asp.net2,319,873
php/7.4.331,889,273
php/8.2.301,157,134
php/8.3.301,082,519

Bản dựng PHP phổ biến nhất, 7.4.33, đã hết vòng đời — vượt trên mọi bản phát hành vẫn còn được hỗ trợ.

Hai vấn đề chồng lên nhau

Đây là một sự phơi bày kép:

  1. Phần mềm không được vá. 50.8% các trang web PHP tiết lộ phiên bản không thể nhận bản vá bảo mật cho một lỗ hổng mới được phát hiện. Chúng phụ thuộc vào việc không có gì bị tìm thấy — điều này không phải là một chiến lược bảo mật.
  2. Chúng phát tán điều đó. Tiết lộ phiên bản chính xác biến một lần quét thành một danh sách mua sắm: kẻ tấn công lọc internet để tìm 7.4.33, đối chiếu chéo với các lỗ hổng đã biết, và có một danh sách mục tiêu trước khi gửi dù chỉ một mã khai thác. (Xem các tiêu đề máy chủ của bạn rò rỉ những gì.)

Không vấn đề nào tốn kém để khắc phục — nhưng chúng vô hình đối với chủ sở hữu, người chỉ thấy một trang web hoạt động và không có cảnh báo nào.

Cách thoát khỏi PHP hết vòng đời

  1. Kiểm tra phiên bản của bạn. Nếu là 8.1 hoặc cũ hơn, nó đã hết vòng đời tính đến 2026-06-29.
  2. Nâng cấp lên một bản phát hành được hỗ trợ (8.2+). Hầu hết các nhà cung cấp hosting đều cho phép chuyển đổi phiên bản PHP bằng một cú nhấp.
  3. Ngừng quảng bá nó. Loại bỏ hoặc làm chung chung X-Powered-By để bạn không trao cho kẻ tấn công phiên bản của mình.
  4. Kiểm tra lại để xác nhận.

Câu hỏi thường gặp

Phiên bản PHP phổ biến nhất trên web là gì? 7.4.33 — và nó đã hết vòng đời. Nó chạy trên 1,889,273 trang web, nhiều hơn bất kỳ bản phát hành nào vẫn còn được hỗ trợ, tính đến 2026-06-29.

Có bao nhiêu trang web chạy phiên bản PHP không được hỗ trợ? Trong số 12 triệu trang web tiết lộ một phiên bản, 50.8% chạy một bản phát hành hết vòng đời (PHP ≤ 8.1). Con số thực tế có lẽ còn cao hơn, vì nhiều trang web EOL ẩn phiên bản của họ.

Chạy PHP hết vòng đời thực sự có nguy hiểm không? Có. Các phiên bản EOL không nhận được bản vá bảo mật, nên bất kỳ lỗ hổng mới được phát hiện nào cũng vẫn có thể khai thác vô thời hạn. Kết hợp với việc tiết lộ phiên bản, nó biến một trang web thành mục tiêu dễ dàng, đã được sàng lọc trước.

Làm sao tôi biết mình đang dùng phiên bản PHP nào? Bảng điều khiển của nhà cung cấp hosting cho biết điều đó, và nhiều trang web rò rỉ nó trong tiêu đề X-Powered-By. Nâng cấp lên một phiên bản được hỗ trợ (8.2+) thường là một thay đổi bằng một cú nhấp.

Kiểm tra trang web của bạn tiết lộ những gì

Xem liệu trang web của bạn có quảng bá ngăn xếp công nghệ của nó — và phần còn lại của thế trận bảo mật của bạn — miễn phí và riêng tư.

Kiểm tra tên miền của bạn → · Các tiêu đề máy chủ của bạn rò rỉ những gì → · Bảng điểm tiêu đề bảo mật HTTP → · Chỉ dữ liệu tổng hợp. Dữ liệu được lưu trữ và xử lý tại EU.