Was ist ein Website-Backup?
Ein Website-Backup ist eine vollständige Sicherungskopie aller Bestandteile einer Website, die im Bedarfsfall zur Wiederherstellung genutzt werden kann. Bei einer WordPress-Website umfasst ein vollständiges Backup zwei Komponenten:
Dateien: Alle WordPress-Dateien – Core, Plugins, Themes, hochgeladene Medien und individuelle Konfigurationsdateien (insbesondere wp-config.php und .htaccess)
Datenbank: Die MySQL-Datenbank mit allen Inhalten – Beiträge, Seiten, Kommentare, Einstellungen, Benutzerkonten
Erst die Kombination beider Teile ergibt ein vollständiges, wiederherstellbares Backup.
Wann wird ein Backup gebraucht?
- Nach einem Hack oder einer Malware-Infektion
- Wenn ein fehlerhaftes Plugin-Update die Website beschädigt
- Bei Bedienerfehlern (versehentlich gelöschte Inhalte oder Einstellungen)
- Beim Umzug auf einen neuen Server oder Hoster
- Als Referenzpunkt bei unerklärlichen Problemen
In der Praxis ist der häufigste Grund kein Hack – sondern ein fehlgeschlagenes Update oder ein Bedienerfehler. Trotzdem ist das Backup beim Thema WordPress-Sicherheit unverzichtbar: Im Ernstfall ist es der einzige Weg zurück zu einem sauberen Zustand.
Was macht ein brauchbares Backup aus?
Nicht jedes Backup ist im Ernstfall tatsächlich verwendbar. Drei Kriterien sind entscheidend:
1. Externe Speicherung
Ein Backup, das auf demselben Server liegt wie die Website, ist im schlimmsten Fall wertlos. Wenn der Hoster das Konto sperrt, der Server kompromittiert ist oder ein Hardwareausfall vorliegt, ist das lokale Backup unzugänglich.
Brauchbare Backup-Ziele: Google Drive, Dropbox, Amazon S3, ein separater SFTP-Server – alles außerhalb des eigentlichen Hosting-Accounts.
2. Ausreichende Aufbewahrungsdauer
Ein einziges Rolling-Backup vom Vortag reicht nicht. Malware verankert sich oft Wochen bis Monate vor dem sichtbaren Schaden – ein Backup vom Vortag kann bereits infiziert sein. Empfehlung: mindestens 30 Tage Backup-Historie, für kritische Websites mehr.
3. Regelmäßige Erstellung
Tägliche Backups sind der Standard. Für Websites mit häufigen Änderungen – z.B. Shops, Mitgliederportale – sind engere Intervalle sinnvoll. Ein Backup, das wochenlang nicht aktualisiert wurde, kostet beim Einspielen wertvolle Inhalte.
Hosting-Backup vs. eigenes Backup: Was ist der Unterschied?
Hosting-Backup: Viele Hoster erstellen automatisch tägliche Backups. Das ist besser als nichts – aber es ist kein Ersatz für eine eigene Strategie. Gründe:
- Das Hosting-Backup liegt auf demselben System und kann gesperrt oder unzugänglich werden
- Die Aufbewahrungsdauer ist oft auf 7–14 Tage begrenzt
- Bei einer Hoster-Kündigung oder Account-Sperrung ist das Backup möglicherweise nicht mehr verfügbar
- Im Schadensfall muss der Hoster kontaktiert werden, statt selbst handeln zu können
Plugin-Backup (empfohlen als Ergänzung): Plugins wie UpdraftPlus oder WPvivid ermöglichen automatische Backups auf externen Cloud-Speichern. Konfigurierbar in Frequenz, Aufbewahrungsdauer und Speicherort. Die Wiederherstellung ist direkt aus dem WordPress-Backend möglich – ohne Hoster-Kontakt.
Das Backup muss getestet werden
Ein Backup, das nie wiederhergestellt wurde, ist ein unbestätigtes Versprechen. Wer sicher sein will, dass das Backup im Ernstfall funktioniert, sollte es regelmäßig auf einer Testumgebung einspielen – nicht erst, wenn es kritisch wird.
Backup im Zusammenspiel mit anderen Sicherheitsmaßnahmen
Ein Backup schützt nicht vor Angriffen. Es stellt Handlungsfähigkeit nach einem Angriff sicher.
Die vollständige Schutzstrategie kombiniert:
- Aktuell gehaltene Plugins (gegen Sicherheitslücken)
- 2FA und starke Passwörter (gegen Brute Force)
- Eine WAF (gegen laufende Angriffe)
- Externes Backup mit langer Aufbewahrung (für den Ernstfall)
Fazit
Ein Website-Backup ist keine optionale Zusatzmaßnahme – es ist die Grundvoraussetzung dafür, nach einem Vorfall wieder handlungsfähig zu sein. Wer auf Hosting-Backups allein vertraut, hat ein unbestätigtes Sicherheitsnetz. Wer eigene, externe, regelmäßige und getestete Backups betreibt, hat ein echtes.
