Defaults.Exposed

Defaults.Exposed › 报告

一半的 PHP Web 运行着已终止支持的 PHP(2026)

发布于 2026-06-29

数据截至 2026-06-29 · 方法论 v7。 来自 261 百万个评级域名中观察到的 X-Powered-By 响应头的聚合普查数据。EOL 占比是在最常见的已披露 PHP 版本中测量的;“生命周期终止”指不再接收安全修复的版本(截至 2026 年为 PHP ≤ 8.1)。参见我们如何评级

网络中有相当大的一部分运行着多年前就已停止接收安全补丁的 PHP——而且还乐于直接告诉你。 在响应头中披露其 PHP 版本的 12 百万 个网站中,50.8% 正运行已达生命周期终止的版本。整个网络中最常见的单一 PHP 版本是 7.4.33——一个于 2022 年达到生命周期终止的构建版本——运行在 1,889,273 个网站上。它们不仅仅是过时;它们不会收到任何安全修复,并且会向每一个询问的扫描器宣告自己的版本。

这里的“生命周期终止”是什么意思

PHP 版本大约会获得两年的积极支持,外加一年仅含安全修复的支持。在此之后——生命周期终止——不再有任何安全补丁,即使是针对严重漏洞也是如此。 截至 2026-06-29,包括 PHP 8.1 在内的所有版本都已达到生命周期终止。一个运行 EOL 版本的网站若沾染上新发现的已知漏洞,便会一直处于易受攻击的状态。

网站通过 X-Powered-By 公布的最常见版本:

已披露的版本网站
asp.net2,319,873
php/7.4.331,889,273
php/8.2.301,157,134
php/8.3.301,082,519

最常见的 PHP 构建版本 7.4.33 已达生命周期终止——超过了任何仍受支持的版本。

两个问题叠加在一起

这是一种复合性的暴露:

  1. 软件未打补丁。 50.8% 披露版本的 PHP 网站无法为新发现的缺陷接收安全修复。它们依赖于不被发现任何东西——而这并不是一种安全策略。
  2. 它们广而告之。 披露确切版本会把一次扫描变成一张购物清单:攻击者按 7.4.33 在互联网上进行筛选,与已知漏洞交叉比对,并在发送任何一个漏洞利用程序之前就掌握了一份目标清单。(参见你的服务器响应头泄露了什么。)

这两个问题都不昂贵就能修复——但它们对网站所有者来说是隐形的,所有者看到的是一个正常运行的网站和毫无警告。

如何摆脱生命周期终止的 PHP

  1. 检查你的版本。 如果是 8.1 或更早,那么截至 2026-06-29 它已达生命周期终止。
  2. 升级到受支持的版本(8.2+)。大多数主机商提供一键切换 PHP 版本。
  3. 停止公布它。 移除或泛化 X-Powered-By,这样你就不会把你的版本交给攻击者。
  4. 重新检查以确认。

常见问题

网络上最常见的 PHP 版本是什么? 7.4.33——而且它已达生命周期终止。截至 2026-06-29,它运行在 1,889,273 个网站上,超过任何仍受支持的版本。

有多少网站运行不受支持的 PHP 版本? 在披露版本的 12 百万个网站中,50.8% 运行已达生命周期终止的版本(PHP ≤ 8.1)。真实数字可能更高,因为许多 EOL 网站会隐藏其版本。

运行生命周期终止的 PHP 真的危险吗? 是的。EOL 版本不会收到任何安全补丁,因此任何新发现的漏洞都会无限期地保持可被利用的状态。再加上版本披露,这会使网站成为一个轻易且经过预先筛选的目标。

我如何知道自己使用的是哪个 PHP 版本? 你的主机商控制面板会显示它,许多网站还会在 X-Powered-By 响应头中泄露它。升级到受支持的版本(8.2+)通常只需一键完成。

检查你的网站暴露了什么

查看你的网站是否在宣告其技术栈——以及你其余的安全态势——免费且私密。

检查你的域名 → · 你的服务器响应头泄露了什么 → · HTTP 安全响应头成绩单 → · 仅聚合数据。数据在欧盟存储和处理。