Da schätze ich den Verbreitungsgrad relativ gering ein.
Jeder der genug Kenntnisse besitzt, stellt sich meist sein eigenes Paket zusammen.
Der Aufwand XAMPP soweit umzukonfigurieren, dass er websicher betrieben werden kann und dennoch all seinen Ansprüchen genügt ist in der Regel fast gleichzusetzen wie alle Komponenten selbst zusammenzustricken. Bei richtigen Webhostern mit Serverfarmen ist dies sowieso der Fall.
Bevor man ein Komplettsystem für den Live-Einsatz einsetzt, sollte man sowieso genug Kenntnisse über die Verknüpfung der Einzelkomponenten haben. Was macht man sonst, wenn eine neue Apache Version herauskommt die kritische Sicherheitslücken stopft? Oder eine neue PHP-Version? Jedesmal warten bis eine neue XAMPP-Version nachgezogen ist? Denn ein upgrade von Einzelkomponenten wird hier nicht supported.
Und wohin das führt, sieht man jetzt ja auch ganz gut. Die aktuelle Apache Version ist schon fast 2 Monate released, ebenso wie die aktuelle PHP-Version. Seit 5 Wochen gibt es XAMPP Beta-Versionen für Linux und Mac, aber noch keine für Windows. Ein Release für eine stable Version ist erst recht nicht in Sicht.
Solche Release-Zyklen kann man sich vielleicht in einer Entwicklungsumgebung erlauben, bei einem Live-System würde ich mich nicht davon abhängig machen wollen.
Das hast du zwar nicht gefragt, ich konnte mich grad aber nicht beherrschen