1. Was muss gesichert werden?
Eine WordPress-Site besteht aus zwei Teilen: Files (alles unter wp-content, plus wp-config.php, htaccess) und Datenbank (alle Posts, Settings, User, Inhalte). Beides muss gesichert werden. Reine File-Backups ohne DB sind nutzlos — du hast den Code, aber keine Inhalte. Reine DB-Backups ohne Files sind auch wertlos — du hast die Inhalte, aber keine Themes, Plugins, Bilder.
- Files: wp-content/, wp-config.php, .htaccess, Custom-Code im Root
- Datenbank: alle Tabellen, inkl. Custom-Plugin-Tabellen
- Optional: WordPress-Core-Files (oft nicht nötig, da von wordpress.org herstellbar)
2. Wie oft sichern?
Die Frequenz hängt von der Änderungshäufigkeit ab. Marketing-Sites mit wenigen Updates: einmal wöchentlich reicht. Blog mit täglichen Posts: täglich. WooCommerce-Shops: mehrmals täglich oder kontinuierlich (jede Stunde). Faustregel: wie viel Datenverlust kannst du dir maximal erlauben? Wenn das maximal 24h sind, dann täglich sichern. Wenn 1h, dann stündlich. Bei E-Commerce: Bestellungen sind kostbar — auf keinen Fall mehrere Stunden riskieren.
3. Off-Site-Storage ist Pflicht
Backup auf demselben Server, der gehackt werden kann, ist kein echtes Backup. Off-Site bedeutet: andere Infrastruktur. Optionen: Amazon S3 (sehr günstig, sehr zuverlässig), Backblaze B2 (noch günstiger), Google Drive (einfach, aber begrenzte API-Limits), Dropbox (einfach, etwas teurer). Bei Hosting-spezifischen Backups (z.B. Cloudways, WP Engine): die sind meist auf eigener Infrastruktur, aber prüfe, ob sie auch dann verfügbar sind, wenn dein Hoster-Account selbst kompromittiert ist.
4. Backup-Plugin-Empfehlungen
UpdraftPlus ist das verbreitetste Backup-Plugin (kostenlose Basisversion, Premium für Off-Site, ~$70/Jahr). Sehr zuverlässig, aber UI ist altmodisch. BackupBuddy (Solid Backups) ist Premium mit besserem UI (~$200/Jahr). BlogVault ist Cloud-basiert mit täglichen Backups inkludiert (~$200/Jahr). Für Hardcore-User: WP-CLI mit Custom-Cron-Skripten — flexibel, aber Setup-Aufwand. Für Hosting-spezifische: viele Premium-Hoster (Kinsta, WP Engine, Cloudways) haben tägliche Backups inkludiert.
5. Retention — wie lange aufheben?
Die typische Empfehlung: tägliche Backups 14 Tage, wöchentliche 8 Wochen, monatliche 12 Monate. Damit deckst du verschiedene Szenarien ab: kurze Reverts (was war gestern?), mittlere (was war vor 2 Wochen?), lange (was war vor 6 Monaten, bevor das Plugin installiert war?). Speicherplatz ist heute so günstig, dass du eher zu viel als zu wenig aufbewahren solltest.
6. Restore-Tests sind kritisch
Ein Backup, das nicht restored werden kann, ist kein Backup. Mindestens einmal pro Quartal: Backup von letzter Woche auf eine Staging-Site restoren. Funktioniert es? Sind alle Daten da? Funktionieren alle Funktionen? Diese Tests entlarven Probleme, bevor sie im Ernstfall katastrophal werden — z.B. dass das Backup-Plugin Custom-DB-Tabellen nicht mit gesichert hat.
Backups werden eingerichtet und vergessen. Monate später, im Ernstfall, stellt man fest: das Backup ist seit 3 Monaten kaputt, wurde nicht überwacht. Setup Notifications für fehlgeschlagene Backups.
7. 3-2-1-Strategie für kritische Sites
Für business-kritische Sites empfehlen wir die 3-2-1-Strategie: 3 Backup-Kopien, auf 2 verschiedenen Medien (Disk + Cloud), 1 davon Off-Site. Konkret: ein lokales Backup auf dem Hoster (schnell für Restores), eines auf S3 (Off-Site), eines auf einer ganz anderen Cloud (z.B. Backblaze). Bei mehreren Disasters bist du immer noch versichert.
8. DSGVO und Backups
Backups enthalten personenbezogene Daten — Kunden-E-Mails, Bestellungen, Kommentare. Das hat DSGVO-Implikationen. Faustregeln: 1) Backups verschlüsselt speichern (Plugin-Setting), 2) Retention dokumentieren — User können Löschung verlangen, das gilt auch für Backups, 3) Auftragsverarbeitungs-Vertrag (AVV) mit Cloud-Anbietern abschließen (S3, Backblaze haben Standard-AVVs). Wir erleben in Audits oft, dass Backup-Strategien DSGVO-Lücken haben.