網站跑了幾年,外掛是最新的,WordPress 核心也沒落後太多,速度還算正常。表面上,一切都好。
但有一件事大多數人不會特別去看:PHP 版本。它藏在主機後台,不像外掛更新會有紅色數字提醒,也不會讓網站直接壞掉,靜靜地跑著,直到出了問題。
根據 WordPress.org 的官方統計,目前全球仍有超過 42% 的 WordPress 網站跑在 PHP 7.4。這個版本,說了怕你嚇一跳,已經在 2022 年 11 月正式宣告停止支援——到現在,超過三年了。
簡單說: PHP 7.4 已經停止接收任何安全更新超過三年,每一個新發現的漏洞都不會被修補,但你的網站還在用它跑。
這篇文章讓你知道你開的車子帶著這些風險上路,為什麼現在是認真看待它的時候了。
💡 PHP 是什麼?跟我有什麼關係?
PHP 是你的網站在伺服器上運作的核心語言,就像汽車引擎。WordPress、WooCommerce、幾乎所有外掛,背後都是 PHP 在驅動。每個版本有固定的支援期:前兩年完整支援,第三年只修最嚴重的安全漏洞,之後就放手了。PHP 7.4 的三年到期日是 2022 年 11 月 28 日。
停止支援後發現的每一個安全漏洞,都不會有官方補丁。永遠不會。 這不是「舊一點但還能用」的概念,而是「駭客已知你有漏洞,沒有人會修它」的狀態。
🔓 實際上會發生什麼事?
PHP 環境過時後,攻擊者可以植入惡意程式取得伺服器控制權,在頁面偷偷注入垃圾廣告或不當連結讓你的品牌與這些內容掛勾,然後長期潛伏,你渾然不知。
真實案例說明這不是誇大:美國有一個 WordPress 網站被植入惡意程式碼,追溯起點是 2019 年,潛伏了整整 4 年。數十個頁面被植入垃圾內容,SEO 排名悄悄崩潰,一直到流量數字不對勁才發現。另一個澳洲案例更直接:主機商寄出安全警告後隔夜強制停用 PHP 7.4 支援,網站當晚就無法使用,業主緊急找維護商救援。
不只是功能問題:被 Google 標記為惡意網站後,搜尋流量可能立即腰斬,恢復少則數週、多則數月。若網站有處理用戶資料,個資外洩的法律責任接踵而來。部分資安保單條款明確排除因使用「停止支援軟體」而發生的事件——出事才發現不理賠,是最壞的時間點。
⚙️ 為什麼 PHP 升級比「按一下更新」複雜得多?
更新外掛是在 WordPress 應用層替換一個元件,出問題頂多影響單一功能,可以馬上回滾。PHP 升級是環境層的工程,影響整個網站上的每一行程式碼——WordPress 核心、所有外掛、所有佈景主題的自訂程式碼,全部都在這個環境裡運作。
專業的升級流程是這樣的:先在獨立的測試環境完整複製網站,模擬升級、逐一修復錯誤,確認金流結帳、表單、會員登入等關鍵功能都正常後,才排定正式機的升級時間窗口。正式機升級前一定要備份完整快照——萬一有意外,能在短時間內回復原狀。這也是 CTK 處理每一次 PHP 升級的做法。
💰 升級後能省下多少?
PHP 8 在特定情境下效能可提升 10–30%,相同流量需要更少的伺服器資源,有機會評估是否能調降主機規格來省成本。但比起省下的主機費,避免掉的損失更值得算清楚。
電商網站結帳頁面崩潰一小時,以每日訂單 30 筆的中型電商計算,停機損失就是數萬元,加上被駭後的緊急救援費用(通常是正常維護費的 5–10 倍),以及 Google 黑名單後廣告投放被迫暫停的連鎖影響。形象網站若被植入垃圾連結,搜尋結果出現紅色警示,B2B 業務的品牌信任直接受損。高流量部落格遭 SEO 垃圾注入,流量可以跌掉 55%,廣告收益腰斬,而 Google 的信任一旦喪失,恢復速度遠不如下跌速度。
| 網站類型 | 一次被駭的估算損失 | 專業升級費用 |
| 電商網站 | 救援費 + 停機損失 + 廣告停投,保守估 20–50 萬元以上 | 約 1.5 ~ 5 萬元不等 |
| 形象/企業網站 | 品牌修復 + 救援費,估 5–15 萬元以上 | 約 1.5 ~ 5 萬元不等 |
| 高流量部落格 | SEO 流量復原 3–6 個月,廣告損失累計可觀 | 約 1.5 ~ 5 萬元不等 |
升級費用通常約等於一年度的網站維護費用,視網站規模與外掛複雜度而定。對比被駭後的救援成本,這筆錢的性質比較像保險,而不是額外支出。
✅ 為什麼現在才說?因為三年了,是時候說清楚
PHP 7.4 停止支援已超過三年。我們一直知道,但沒有急著推動,是因為升級本身是個工程,不適合一夕之間要求所有人都動起來。但三年過去,累積的未修補漏洞越來越多,越來越多新版外掛明確標注不再支援 PHP 7.4,現在不說,就不是對大家負責的態度。
對 CTK 的維護客戶,我們會主動評估你的網站狀況,一起排入計畫討論。如果你想先自己確認:在 WordPress 後台的「工具 → 網站健康狀態」就可以找到目前跑的 PHP 版本,30 秒可以查到。如果顯示的是 PHP 7.4 或更低,代表你的網站已超過三年沒有收到任何安全更新,這件事值得認真排進討論清單了。
🔧 延伸閱讀:從技術角度,升級前需要確認的幾件事
PHP 8 有不少「破壞性變更」,這是升級最容易卡關的地方。舉幾個實際例子:PHP 7 對型別很寬鬆,傳一個 `null` 給原本期待字串的函式也不會出錯;PHP 8 直接報致命錯誤(Fatal Error)。正則函式的回傳型別處理方式也變嚴格,舊版可以混用的寫法不再被接受。WooCommerce 的 Stripe 金流外掛在特定升級版本就曾因此讓結帳頁面直接崩潰,有完整的 GitHub issue 記錄在案。
升級前,可以用 WP Doctor 或 PHP Compatibility Checker 外掛先掃描一次網站,它會列出哪些外掛、佈景主題的程式碼在 PHP 8 下會出問題,讓你知道要優先處理哪些項目。
另外要注意目標版本的選擇:
| PHP 版本 | 安全支援截止 | 建議 |
| PHP 7.4 | 2022-11-28 | ❌ 已終止,立即評估升級 |
| PHP 8.0 / 8.1 | 2023 / 2024 年底 | ❌ 同樣已終止,別升到這裡 |
| PHP 8.2 | 2025-12 | ⚠️ 即將到期 |
| PHP 8.3 | 2026-11 | ✅ 目前推薦 |
| PHP 8.4 | 2027-12 | ✅ 長期支援首選 |
升級「PHP 8」不代表升對版本,應直接指向 8.3 或 8.4。
最後,有時候升級需要搬主機。部分主機環境的 PHP 版本與底層 OS 版本綁定,主機商若不支援 PHP 8.x,就只能遷移環境。這不是藉口,是技術架構的現實——現代 VPS 或雲端主機(Ubuntu 22.04 / AlmaLinux 9)均可原生支援 PHP 8.3 以上。若升級需要排期,這段過渡期間可以先透過 Cloudflare 等 WAF 服務增加一層防護,降低暴露風險。
- WordPress PHP Version Stats – WordPress.org, 官方統計
- PHP 7.4 EOL Is Here: How to Secure Your System – Zend, 2022
- Navigate PHP 7.4 EOL: Secure Systems with Endless Support – TuxCare, 2023
- How We Rescued a WordPress Site After PHP 7.4 End-of-Life – PcRiot, 2023
- 4 Years of Injected SPAM on a WordPress Site: A Real-Life Case Study – Brinzan.com
- Fake WordPress Plugin Impacts SEO by Injecting Casino Spam – Sucuri, 2025 年 2 月
- PHP fatal error encountered on upgrade – WooCommerce Stripe Gateway – GitHub, 2024
- WooCommerce 10.4.2 Fixes Critical WP 6.9 Crashes & PHP 8.4 Errors – 365i, 2025 年 12 月
- The True Cost of IT Downtime for Businesses in 2024 – DivergeIT, 2024
註:所有數據與引述均截至 2026 年 3 月
