Defaults.Exposed › 報告
一半的 PHP Web 運行著已終止支持的 PHP(2026)
發布於 2026-06-29
數據截至 2026-06-29 · 方法論 v7。 來自 261 百萬個評級域名中觀察到的
X-Powered-By響應頭的聚合普查數據。EOL 佔比是在最常見的已披露 PHP 版本中測量的;“生命週期終止”指不再接收安全修復的版本(截至 2026 年為 PHP ≤ 8.1)。參見我們如何評級。
網絡中有相當大的一部分運行著多年前就已停止接收安全補丁的 PHP——而且還樂於直接告訴你。 在響應頭中披露其 PHP 版本的 12 百萬 個網站中,50.8% 正運行已達生命週期終止的版本。整個網絡中最常見的單一 PHP 版本是 7.4.33——一個於 2022 年達到生命週期終止的構建版本——運行在 1,889,273 個網站上。它們不僅僅是過時;它們不會收到任何安全修復,並且會向每一個詢問的掃描器宣告自己的版本。
這裡的“生命週期終止”是什麼意思
PHP 版本大約會獲得兩年的積極支持,外加一年僅含安全修復的支持。在此之後——生命週期終止——不再有任何安全補丁,即使是針對嚴重漏洞也是如此。 截至 2026-06-29,包括 PHP 8.1 在內的所有版本都已達到生命週期終止。一個運行 EOL 版本的網站若沾染上新發現的已知漏洞,便會一直處於易受攻擊的狀態。
網站通過 X-Powered-By 公佈的最常見版本:
| 已披露的版本 | 網站 |
|---|---|
| asp.net | 2,319,873 |
| php/7.4.33 | 1,889,273 |
| php/8.2.30 | 1,157,134 |
| php/8.3.30 | 1,082,519 |
最常見的 PHP 構建版本 7.4.33 已達生命週期終止——超過了任何仍受支持的版本。
兩個問題疊加在一起
這是一種複合性的暴露:
- 軟件未打補丁。 50.8% 披露版本的 PHP 網站無法為新發現的缺陷接收安全修復。它們依賴於不被發現任何東西——而這並不是一種安全策略。
- 它們廣而告之。 披露確切版本會把一次掃描變成一張購物清單:攻擊者按
7.4.33在互聯網上進行篩選,與已知漏洞交叉比對,並在發送任何一個漏洞利用程序之前就掌握了一份目標清單。(參見你的服務器響應頭洩露了什麼。)
這兩個問題都不昂貴就能修復——但它們對網站所有者來說是隱形的,所有者看到的是一個正常運行的網站和毫無警告。
如何擺脫生命週期終止的 PHP
- 檢查你的版本。 如果是 8.1 或更早,那麼截至 2026-06-29 它已達生命週期終止。
- 升級到受支持的版本(8.2+)。大多數主機商提供一鍵切換 PHP 版本。
- 停止公佈它。 移除或泛化
X-Powered-By,這樣你就不會把你的版本交給攻擊者。 - 重新檢查以確認。
常見問題
網絡上最常見的 PHP 版本是什麼? 7.4.33——而且它已達生命週期終止。截至 2026-06-29,它運行在 1,889,273 個網站上,超過任何仍受支持的版本。
有多少網站運行不受支持的 PHP 版本? 在披露版本的 12 百萬個網站中,50.8% 運行已達生命週期終止的版本(PHP ≤ 8.1)。真實數字可能更高,因為許多 EOL 網站會隱藏其版本。
運行生命週期終止的 PHP 真的危險嗎? 是的。EOL 版本不會收到任何安全補丁,因此任何新發現的漏洞都會無限期地保持可被利用的狀態。再加上版本披露,這會使網站成為一個輕易且經過預先篩選的目標。
我如何知道自己使用的是哪個 PHP 版本?
你的主機商控制面板會顯示它,許多網站還會在 X-Powered-By 響應頭中洩露它。升級到受支持的版本(8.2+)通常只需一鍵完成。
檢查你的網站暴露了什麼
查看你的網站是否在宣告其技術棧——以及你其餘的安全態勢——免費且私密。
檢查你的域名 → · 你的服務器響應頭洩露了什麼 → · HTTP 安全響應頭成績單 → · 僅聚合數據。數據在歐盟存儲和處理。