Die 3-2-1-Regel
Internationaler Industrie-Standard für Backup-Strategien:
- 3 Kopien der Daten – Original plus zwei Backups.
- 2 unterschiedliche Medientypen – z. B. Server-Festplatte plus Cloud-Storage, oder Cloud plus externe Festplatte.
- 1 Kopie offsite – an einem anderen geografischen Ort, idealerweise auf einem anderen Anbieter.
Diese Regel ist konservativ, aber sie deckt die häufigsten Versagensszenarien ab: Hardware-Crash, Hosting-Ausfall, Naturkatastrophe, Hosting-Account gesperrt, Cloud-Anbieter pleite oder gehackt.
Die häufigsten Backup-Fehler
Backup auf demselben Server
Wer Backups in einem Unterverzeichnis seiner WordPress-Installation ablegt, hat kein Backup. Wenn der Server crasht, ist das Backup gleichzeitig weg. Bei einem Hack greifen Angreifer oft direkt auch die Backup-Dateien an, um Recovery zu verhindern.
Niemals getestet
Ein Backup, das nie wiederhergestellt wurde, ist eine Datei mit Hoffnung darin. Wir hatten Audits, in denen das Backup-Plugin seit 14 Monaten freudig grüne Meldungen produziert hat – aber die letzte erfolgreiche Wiederherstellung war nie passiert. Bei Bedarf wäre die Datei nicht entpackbar gewesen.
Nur Datenbank, nicht wp-content
WordPress besteht aus zwei Teilen: Datenbank (Posts, Settings, User) und wp-content (Theme, Plugins, Bilder, Uploads). Wer nur die DB sichert, hat Inhalte gerettet, aber Theme, Plugin-Konfigurationen und alle Medien verloren. Vollständiges Backup heißt: DB plus wp-content komplett.
Unverschlüsselt
Backup-Dateien enthalten alle Daten der Site – inklusive Login-Daten, Kunden-Mails, gegebenenfalls Bestelldaten und Passwort-Hashes. Wer sie unverschlüsselt auf einem öffentlich zugänglichen FTP oder einer Cloud-Storage ohne Verschlüsselung ablegt, hat ein Datenschutz-Problem.
Aufbewahrung zu kurz
Manche Hacks bleiben wochenlang unentdeckt. Wenn das Backup von gestern bereits infiziert ist, brauchst du das von vor 14 Tagen. Aufbewahrungs-Tiefe von 30 Tagen ist Mindeststandard, bei kritischen Sites lieber 60–90 Tage.
Welche Backup-Tools wir einsetzen
UpdraftPlus
Standard-Backup-Plugin für WordPress, kostenlose Version reicht für viele Standard-Sites. Speichert nach S3, Google Drive, Dropbox, FTP. Premium-Version bietet inkrementelle Backups (nur Änderungen), Multisite-Support und Migrations-Funktion. Solide, robust, breit eingesetzt.
BlogVault
Spezialisierter Premium-Backup-Service mit Fokus auf inkrementelle Backups, getestete Restore-Funktion und integriertem Staging. Etwas teurer, aber Recovery ist schneller und zuverlässiger als bei UpdraftPlus. Für kritische Sites unsere Standard-Wahl.
Server-Snapshot beim Hoster
Viele moderne WordPress-Hoster (Hetzner Cloud, Plesk-Hosting, AWS Lightsail) bieten Snapshot-Funktionen auf Dateisystem-Ebene. Diese sind schnell, zuverlässig und außerhalb der WordPress-Installation gespeichert. Wir empfehlen sie als zusätzliche Sicherung neben dem WordPress-internen Backup.
Frequenz und Aufbewahrung – nach Site-Typ
News-Sites, Shops, Communities
Sites mit täglichen oder mehrfach-täglichen Inhalts-Änderungen brauchen tägliche Backups, manchmal auch stündliche. Aufbewahrung mindestens 30 Tage, bei Shops mit Bestelldaten lieber 90 Tage. Inkrementelle Backups (nur Änderungen) machen das speicherplatz-effizient.
Standard-Unternehmens-Sites
Bei Sites mit moderater Update-Frequenz (1–3 Inhalts-Änderungen pro Woche): tägliche Backups als Hauptlinie, 30 Tage Aufbewahrung. Plus wöchentliche Long-Term-Backups, die 6 Monate aufbewahrt werden – für schwer entdeckte Probleme.
Statische Sites mit selten Änderungen
Bei Sites, die nur ein paar Mal pro Monat angefasst werden: nicht weniger als tägliche Backups – statische Sites haben oft Kommentare, Spam-Filter, Plugin-Updates oder kleine Inhalts-Korrekturen. Ein wöchentliches Backup ist im Schadensfall zu wenig.
Externes Storage – wohin mit den Backup-Dateien?
Wasabi und Backblaze B2
Spezialisierte Cloud-Storage-Anbieter mit S3-kompatiblem API. Deutlich günstiger als Amazon S3 (etwa 6 USD pro TB pro Monat statt 23 bei AWS). Für Backup-Zwecke ideal – die langsamere Restore-Geschwindigkeit bei Backblaze ist im Notfall meist zweitrangig.
Hetzner Storage Box
Bei Sites mit Hetzner-Hosting: Storage Box als Backup-Ziel mit BackupBuddy oder UpdraftPlus per FTP/S3. Praktisch, da im selben Provider-Ökosystem, aber explizit nicht auf demselben Server.
S3-Bucket beim eigenen Cloud-Provider
Bei Mandanten mit AWS, Azure oder Google Cloud: Backup direkt in einen S3-Bucket mit Lifecycle-Policy (alte Backups automatisch löschen). Viele Backup-Plugins unterstützen das nativ. Verschlüsselung im Transit und at-rest standardmäßig.
Recovery-Tests – Pflicht, nicht Kür
Backup-Tests gehören in jeden Wartungs-Workflow. Bei uns quartalsweise:
- Staging-Wiederherstellung.Aktuelles Backup auf eine Staging-Subdomain einspielen. Site komplett laden lassen, Frontend prüfen, Login testen.
- Datenbank-Integrität.SQL-Datei manuell prüfen, ob alle Tabellen vorhanden sind und keine Fehler enthalten.
- Datei-Vollständigkeit.Theme- und Plugin-Verzeichnisse durchzählen, ob alle erwarteten Dateien da sind.
- Recovery-Zeit.Wie lange dauert die komplette Wiederherstellung? Wenn länger als die SLA-Zusage, Optimierung der Backup-Konfiguration nötig.
Was Backup-Pflege in der Wartung kostet
In allen Wartungspaketen ist die laufende Backup-Pflege enthalten:
- Tägliche externe Backups (UpdraftPlus oder BlogVault)
- 30 Tage Aufbewahrung Standard, längere Zeiträume optional
- Quartalsweise Recovery-Tests auf Staging
- Im Notfall: Recovery innerhalb weniger Stunden
Backup-Pflege als Einzelauftrag (Setup ohne laufende Wartung): einmalig 4–6 Stunden, also 800–1.200 € netto, plus laufende Storage-Kosten beim Anbieter (ca. 5–15 €/Monat je nach Datenmenge).