La vida digital de miles de empresas y particulares en España se sustenta en páginas web que, en muchos casos, funcionan sobre un lenguaje de programación que se ha quedado atrás. Cuando ese lenguaje es PHP en versiones obsoletas, el riesgo no es menor: hablamos de posibles robos de contraseñas, accesos indebidos a bases de datos y secuestro de información sensible.
Los cálculos manejados por el sector apuntan a una situación preocupante: hasta un 40 % de las webs registradas en España ya serían vulnerables, y la cifra podría dispararse al 60 % a comienzos de 2026. Para quienes utilizan su web como escaparate de negocio, tienda online o herramienta de gestión, este salto supone un cambio de escenario nada trivial.
PHP obsoleto: cómo un lenguaje clave se convierte en un problema de seguridad
La mayoría de sitios web dinámicos se apoyan en PHP, un lenguaje de código abierto que se actualiza de manera periódica. Cada nueva versión incorpora mejoras de rendimiento y, sobre todo, parches que corrigen vulnerabilidades detectadas. El inconveniente llega cuando estas novedades coexisten con instalaciones antiguas que no se han actualizado y se quedan con un PHP obsoleto.
En el ecosistema de PHP existe un ciclo de vida muy marcado: cuando aparece una versión nueva (por ejemplo, pasar de PHP 8.4 a PHP 8.5), otra entra en fase final de soporte o “End of Life” (EOL). A partir de ese momento deja de recibir correcciones de seguridad, lo que significa que cualquier agujero conocido permanece abierto para quien sepa cómo explotarlo.
Desde el sector del hosting se insiste en que el problema no es tanto el lenguaje en sí, sino el hábito de los propietarios de webs, que a menudo no revisan la versión de PHP instalada ni se preocupan de mantenerla al día. Esto provoca que miles de sitios sigan funcionando con ediciones antiguas, pese a que ya no reciben parches de seguridad.
Cuando una página continúa online con PHP obsoleto, las “puertas” del servidor quedan más expuestas, facilitando que ciberdelincuentes aprovechen fallos conocidos para acceder a datos personales, información de clientes o sistemas de pago integrados. Esa combinación de abandono y tecnología antigua es, según los expertos, el caldo de cultivo perfecto para ataques masivos.
España: hasta dos millones de portales en el punto de mira
En el caso español, los datos disponibles hablan de entre 1,1 y 3 millones de páginas web registradas. Dentro de ese abanico, las estimaciones sitúan ya hoy entre 800.000 y 1,2 millones de sitios con vulnerabilidades claras ligadas al uso de versiones antiguas de PHP. Es decir, alrededor del 40 % del total podría ser un objetivo relativamente fácil para ataques automatizados.
El panorama se complica con una fecha marcada en rojo en el calendario: el 1 de enero de 2026. Ese día expira el soporte de varias versiones veteranas de PHP, lo que dejará sin respaldo oficial a una parte importante de las instalaciones todavía activas. Fuentes del sector del alojamiento web calculan que, si no se toman medidas, entre el 50 % y el 60 % de las webs españolas quedarán desprotegidas a partir de entonces.
Traducido a números absolutos, se estaría hablando de hasta casi dos millones de portales activos en el país funcionando sobre PHP obsoleto. Muchas de esas páginas son escaparates corporativos, tiendas en línea o plataformas donde se gestionan datos de terceros, por lo que un fallo de seguridad no se quedaría solo en un problema técnico: podría afectar a la privacidad de miles de usuarios.
El riesgo va mucho más allá de que un sitio deje de cargar o muestre errores. Trabajar con versiones antiguas de PHP implica abrir la puerta a robos de credenciales, accesos no autorizados a bases de datos, secuestro de información para pedir un rescate (ransomware) o suplantaciones de identidad mediante la manipulación del propio portal.
Un problema que trasciende a España: el 40 % de las webs del mundo, en peligro
Lo que ocurre en España no es una excepción ni un caso aislado. A nivel internacional, las estimaciones sitúan el número de sitios web activos entre 1.100 y 1.400 millones. Y la cifra no deja de subir: según la plataforma de análisis Siteefy, cada segundo se crean tres nuevas páginas, lo que hace que cualquier debilidad tecnológica se propague muy rápido.
En ese contexto, diversos análisis coinciden en que alrededor del 40 % de las webs del mundo presentan fallos de seguridad importantes derivadas, en buena parte, del uso de versiones de PHP que ya han quedado obsoletas. El patrón se repite: se publican nuevas versiones, pero una proporción elevada de administradores no actualiza y mantiene en producción entornos desfasados.
Este escenario genera una especie de “franja gris” en la red, formada por millones de páginas que siguen funcionando aparentemente con normalidad pero que, en realidad, operan sobre un software sin soporte. A medida que se descubren nuevas vulnerabilidades y no se aplican parches, esa franja se convierte en terreno cada vez más fácil para los atacantes.
La situación global complica también la tarea de contención: una web desactualizada en cualquier punto del planeta puede ser utilizada como plataforma para lanzar ataques contra otros sitios, distribuir malware o alojar campañas de phishing. Por eso, mantener actualizado PHP no solo protege al propio portal, sino que contribuye a reducir el riesgo en el conjunto del ecosistema digital.
Qué implica seguir con PHP obsoleto y por qué urge actualizar
Seguir utilizando PHP obsoleto significa, en la práctica, renunciar a la “red de seguridad” que proporcionan los parches oficiales. A partir del fin de soporte, cualquier nuevo fallo descubierto ya no recibe corrección por parte del proyecto, de modo que los ciberdelincuentes pueden explotar vulnerabilidades públicas durante años si el administrador no da el paso de actualizar.
Los expertos comparan esta situación con la de un sistema operativo que deja de recibir actualizaciones. Del mismo modo que un ordenador con una versión antigua de Windows se vuelve más propenso a infecciones y ataques, un servidor web con un PHP sin soporte se convierte en un objetivo preferente para bots y herramientas automatizadas que escanean la red en busca de fallos conocidos.
Las consecuencias pueden ir desde la simple defacement o modificación del aspecto de la página hasta incidentes mucho más graves, como el robo de información de pago, la filtración de datos personales o el uso del servidor comprometido para enviar spam o participar en redes de ataques distribuidos (DDoS). Todo ello, además, con un impacto directo sobre la reputación de la empresa o profesional detrás del sitio.
En el caso de proyectos que manejan información especialmente sensible —por ejemplo, tiendas online, plataformas de reservas o zonas privadas de clientes—, mantener versiones obsoletas de PHP puede chocar también con obligaciones legales vinculadas a la protección de datos. Un incidente de seguridad relacionado con una falta de actualización podría tener consecuencias legales, no solo técnicas.
PHP 8.5 ya está disponible: qué cambia y qué deben hacer los propietarios de webs
La rama más reciente del lenguaje, PHP 8.5, está disponible desde el 20 de noviembre y ya ha sido desplegada por numerosos proveedores de alojamiento en España y en el resto de Europa. En muchos casos, el nuevo motor se ha habilitado en la totalidad de la red de servidores para que los usuarios puedan seleccionarlo desde su panel de control.
La actualización no es automática: son los propietarios de las páginas quienes deben elegir la versión que usan sus sitios. Lo habitual es que el proveedor de hosting ofrezca un selector de versiones de PHP en el panel, de forma que con unos pocos clics se pueda pasar de una edición antigua a otra soportada, siempre que la web (WordPress, plugins, temas y demás componentes) esté también al día.
Para la mayoría de instalaciones bien mantenidas, cambiar a una versión moderna como PHP 8.5 no debería provocar errores graves, aunque siempre se recomienda realizar una copia de seguridad previa y comprobar la compatibilidad de plantillas y extensiones. Algunos proveedores complementan este proceso con servicios de asistencia técnica para quienes no disponen de tiempo o conocimientos suficientes.
La recomendación generalizada del sector es clara: no esperar al límite del fin de soporte. Anticipar la actualización permite detectar posibles incompatibilidades en un entorno controlado y reduce el riesgo de que la web quede expuesta justo cuando versiones concretas de PHP pierden el respaldo de seguridad oficial.
Con un volumen tan elevado de sitios en España y en el resto del mundo funcionando sobre PHP obsoleto, la próxima gran fecha de caducidad del soporte marca un antes y un después. Los datos apuntan a que la mayoría de ataques se producen contra sistemas desactualizados, por lo que tomar medidas ahora no es solo una cuestión técnica, sino una forma de proteger la actividad diaria, la confianza de los clientes y la continuidad del negocio digital.