4 Haziran 2026’da PHP ekibi iki güncelleme yayımladı: PHP 8.4.22 ve PHP 8.5.7 — ikisi de rutin hata düzeltme sürümleri. Dikkat çeken nokta şu: 8.2 güncellemesi yok, 8.3 güncellemesi yok. Bu bir gözden kaçırma değil; sürüm döngüsünün tasarlandığı gibi işlemesi. Bir PHP dalı aktif desteği bitirince, yalnızca uygun güvenlik açıkları ortaya çıktığında güvenlik yaması alır. Rutin hata düzeltmeleri durur. Haziran bir hata düzeltme ayıydı; 8.2 ve 8.3 bu döngünün dışında kaldı.

Şimdilik sorun değil. Asıl önemli olan saat: PHP 8.2, 31 Aralık 2026’da tamamen ömrünü tamamlıyor. Altı ay kaldı. Bu tarihten sonra 8.2 dalı için hiçbir türde — hata düzeltmesi ya da güvenlik yaması — güncelleme çıkmayacak. 1 Ocak 2027’de veya sonrasında açıklanan herhangi bir güvenlik açığı, PHP 8.2 üzerinde sonsuza dek yamasız kalacak.

Mevcut Durum

PHP’nin şu anki destek tablosu şöyle görünüyor:

  • PHP 8.1 — 31 Aralık 2025 itibarıyla zaten ömrünü tamamladı. Hâlâ bu sürümdeyseniz, altı aydır yamalar almayan bir yazılım çalıştırıyorsunuz.
  • PHP 8.2 — 31 Aralık 2026’ya kadar yalnızca güvenlik yamaları alacak; sonra tamamen desteksiz kalacak.
  • PHP 8.3 — Aktif desteği 2025 sonunda bitti; yalnızca güvenlik yamaları alıyor; ömür sonu 31 Aralık 2027.
  • PHP 8.4 — Tam aktif destek, aylık hata düzeltmeleri dahil; ömür sonu 31 Aralık 2028.
  • PHP 8.5 — En yeni dal, tam aktif destek; ömür sonu 31 Aralık 2029.

Pratik sonuç: Düzenli hata düzeltmeleri alan, yalnızca acil güvenlik yamalarıyla yetinmeyen bir dalda olmak istiyorsanız 8.4 ya da 8.5’e geçmeniz gerekiyor. 8.3 veya 8.2 şimdilik kabul edilebilirse de 8.2 için son tarih altı ay uzakta.

EOL Neden Gerçekten Önemlidir?

Standart söylem “artık güvenlik yaması yok = kötü” şeklinde, ve bu doğru. Ancak mekanizmayı anlamak değerlidir.

PHP aktif olarak bakımda olduğu sürece bir CVE kayıt altına alınır, PHP ekibi araştırır, yama çıkar ve siz güncelleme yaparsınız. Maruz kalma penceresi, keşif ile bir sonraki güncelleme döngünüz arasındaki süredir — günler ile haftalar arasında değişir.

PHP ömrünü tamamladığında bu döngü kırılır. CVE’ler kaydedilmeye devam eder. Araştırmacılar kavram kanıtı (proof-of-concept) açıklarını yayımlamaya devam eder. Otomatik tarayıcılar sürüm bilginizi bulmaya devam eder. Fark şudur: yama çıkmaz. Maruz kalma penceresi kalıcı hale gelir.

Daha da kötüsü, çoğu güvenlik tarayıcısı bilinen CVE’leri çalışan yazılıma karşı işaretler. Ömrünü tamamlamış yazılım daha sinsi bir risk oluşturur: tarayıcınızın henüz bilemeyeceği gelecekteki CVE’ler. Sıfır bilinen güvenlik açığı olan yazılım çalıştırmıyorsunuz; bilinen açıklar listesi yalnızca büyüyecek, hiçbir çözüm yolu olmayan bir yazılım çalıştırıyorsunuz.

Ortak barındırma sunucusundaki bir PHP uygulaması için — WordPress, eski bir Laravel uygulaması, bir faturalandırma portalı — bu teorik değil, gerçek bir operasyonel risktir.

Uyumluluk Meselesi

Sitelerin eski PHP sürümlerinde takılı kalmasının neredeyse her zaman asıl nedeni uyumluluk sorunlarıdır, tembellik değil. PHP 8.x, 7.x’e kıyasla önemli kırıcı değişiklikler getirdi; bazı eski eklentiler, temalar ya da özel yazılan kodlar hâlâ kullanımdan kaldırılmış işlevlere dayanıyor. 8.2 ile 8.4 arasındaki değişiklikler daha kademeli olsa da mevcutlar.

Aralık öncesinde yapılacaklar listesi kısadır:

  1. Sitenizin hangi PHP sürümünü çalıştırdığını öğrenin. cPanel’de “MultiPHP Manager” bölümünde görebilirsiniz. VPS’de php -v ya da php8.2 -v komutu işe yarar.
  2. PHP 8.1’deyseniz durumu acil kabul edin — zaten ömür sonu aşılmış durumda.
  3. PHP 8.2’deyseniz, uygulamanızı bir hazırlık ortamında (staging) 8.4’e karşı test edin; sorun giderme için vaktiniz var.
  4. PHP 8.3’teyseniz Aralık 2027’ye kadar süreniz var; ancak aynı test sürecini rahat bir tempoda yapmanızda yarar var.
  5. PHP 8.4 ya da 8.5’teyseniz güncelsiniz, şimdilik yapmanız gereken bir şey yok.

Bir PHP yükseltmesinin uygulamanızı bozduğunu keşfetmek için en kötü an, zaman baskısı altında zorunlu bir geçiş yaparken ortaya çıkmasıdır. Altı ay rahat bir test penceresi sunar; iki hafta sunmaz.

kalfaoglu.net Müşterileri İçin Ne Anlama Geliyor?

Tüm barındırma planlarında PHP 8.2, 8.3, 8.4 ve 8.5’i destekliyoruz. Siteniz şu an 8.2 üzerinde çalışıyorsa, kontrol panelindeki PHP sürümü seçicisinden kesintisiz biçimde 8.4’e geçebilirsiniz — değişiklik alan başına anlık olarak uygulanır. Bunun sorunsuz işleyip işlemediği uygulamanıza bağlıdır; bu nedenle önce hazırlık ortamında test etmek mantıklı bir adımdır.

Hangi sürümde olduğunuzdan emin değilseniz ya da yükseltme testi konusunda yardım istiyorsanız bir destek talebi açın. Baskı altında kırık bir siteyi Aralık’ta çözmekle zaman harcamaktansa, sizi planlı bir şekilde taşımak için 20 dakika ayırmayı tercih ederiz.

PHP 8.1 kullananlar varsa, bu durum zaten acildir. Dal altı aydır desteksiz ve her geçen hafta yamasız kalan CVE birikiyor. Şimdi yükseltin.