Defaults.Exposed › 报告
一半的 PHP Web 运行着已终止支持的 PHP(2026)
发布于 2026-06-29
数据截至 2026-06-29 · 方法论 v7。 来自 261 百万个评级域名中观察到的
X-Powered-By响应头的聚合普查数据。EOL 占比是在最常见的已披露 PHP 版本中测量的;“生命周期终止”指不再接收安全修复的版本(截至 2026 年为 PHP ≤ 8.1)。参见我们如何评级。
网络中有相当大的一部分运行着多年前就已停止接收安全补丁的 PHP——而且还乐于直接告诉你。 在响应头中披露其 PHP 版本的 12 百万 个网站中,50.8% 正运行已达生命周期终止的版本。整个网络中最常见的单一 PHP 版本是 7.4.33——一个于 2022 年达到生命周期终止的构建版本——运行在 1,889,273 个网站上。它们不仅仅是过时;它们不会收到任何安全修复,并且会向每一个询问的扫描器宣告自己的版本。
这里的“生命周期终止”是什么意思
PHP 版本大约会获得两年的积极支持,外加一年仅含安全修复的支持。在此之后——生命周期终止——不再有任何安全补丁,即使是针对严重漏洞也是如此。 截至 2026-06-29,包括 PHP 8.1 在内的所有版本都已达到生命周期终止。一个运行 EOL 版本的网站若沾染上新发现的已知漏洞,便会一直处于易受攻击的状态。
网站通过 X-Powered-By 公布的最常见版本:
| 已披露的版本 | 网站 |
|---|---|
| asp.net | 2,319,873 |
| php/7.4.33 | 1,889,273 |
| php/8.2.30 | 1,157,134 |
| php/8.3.30 | 1,082,519 |
最常见的 PHP 构建版本 7.4.33 已达生命周期终止——超过了任何仍受支持的版本。
两个问题叠加在一起
这是一种复合性的暴露:
- 软件未打补丁。 50.8% 披露版本的 PHP 网站无法为新发现的缺陷接收安全修复。它们依赖于不被发现任何东西——而这并不是一种安全策略。
- 它们广而告之。 披露确切版本会把一次扫描变成一张购物清单:攻击者按
7.4.33在互联网上进行筛选,与已知漏洞交叉比对,并在发送任何一个漏洞利用程序之前就掌握了一份目标清单。(参见你的服务器响应头泄露了什么。)
这两个问题都不昂贵就能修复——但它们对网站所有者来说是隐形的,所有者看到的是一个正常运行的网站和毫无警告。
如何摆脱生命周期终止的 PHP
- 检查你的版本。 如果是 8.1 或更早,那么截至 2026-06-29 它已达生命周期终止。
- 升级到受支持的版本(8.2+)。大多数主机商提供一键切换 PHP 版本。
- 停止公布它。 移除或泛化
X-Powered-By,这样你就不会把你的版本交给攻击者。 - 重新检查以确认。
常见问题
网络上最常见的 PHP 版本是什么? 7.4.33——而且它已达生命周期终止。截至 2026-06-29,它运行在 1,889,273 个网站上,超过任何仍受支持的版本。
有多少网站运行不受支持的 PHP 版本? 在披露版本的 12 百万个网站中,50.8% 运行已达生命周期终止的版本(PHP ≤ 8.1)。真实数字可能更高,因为许多 EOL 网站会隐藏其版本。
运行生命周期终止的 PHP 真的危险吗? 是的。EOL 版本不会收到任何安全补丁,因此任何新发现的漏洞都会无限期地保持可被利用的状态。再加上版本披露,这会使网站成为一个轻易且经过预先筛选的目标。
我如何知道自己使用的是哪个 PHP 版本?
你的主机商控制面板会显示它,许多网站还会在 X-Powered-By 响应头中泄露它。升级到受支持的版本(8.2+)通常只需一键完成。
检查你的网站暴露了什么
查看你的网站是否在宣告其技术栈——以及你其余的安全态势——免费且私密。
检查你的域名 → · 你的服务器响应头泄露了什么 → · HTTP 安全响应头成绩单 → · 仅聚合数据。数据在欧盟存储和处理。