WordPress-Backup-Strategie: Der 3-2-1-Plan für kleine Unternehmen

Externe Festplatte und USB-Sticks veranschaulichen das 3-2-1-Backup-Prinzip auf einem aufgeräumten Schreibtisch.

Von Manuel Hack, ihp media · Aktualisiert am 21. Juni 2026

Das Wichtigste in 30 Sekunden

  • Ein WordPress-Backup folgt dem 3-2-1-Prinzip: drei Kopien, auf zwei verschiedenen Medientypen, davon eine außerhalb des Hauptstandorts.
  • Ein Hosting-Backup allein reicht nicht: Es liegt zu nah am Produktivsystem und wird bei einem Angriff oft mitgetroffen.
  • Datenbank und Dateien müssen gemeinsam gesichert werden, fehlt eine der beiden Komponenten, ist das Backup nicht wiederherstellbar.
  • Ein Backup, das nie wiederhergestellt wurde, ist kein verlässliches Backup. Restore-Tests gehören zum Pflichtprogramm, mindestens einmal im Quartal.

Stellen Sie sich vor, Ihre WordPress-Website ist heute Morgen nicht mehr erreichbar. Der Hoster meldet einen Serverausfall. Oder ein Plugin-Update hat etwas zerschossen. Oder, im schlimmsten Fall, Schadsoftware hat sich seit Wochen unbemerkt durch Ihr System gearbeitet. Was jetzt zählt: Haben Sie ein Backup, das tatsächlich funktioniert? Wer diese Frage mit einem sicheren Ja beantworten kann, gehört zu einer Minderheit. Dieser Ratgeber zeigt, wie eine verlässliche Backup-Strategie für kleine Unternehmen konkret aussieht, ohne Aufwand, der außer Verhältnis zur Websitegröße steht.

Was ohne Backup konkret passiert

Kurz gesagt: Wer keine funktionsfähige Sicherung hat, steht nach einem Ausfall vor einer einfachen Wahl: die Website neu aufbauen oder sehr viel Geld für eine forensische Wiederherstellung ausgeben, ohne Garantie auf Erfolg.

Datenverlust trifft kleine Unternehmen nicht nur bei Hackerangriffen. Das BSI nennt als häufigste Auslöser Ransomware und andere Schadsoftware, Hardwaredefekte, versehentliche Überschreibungen und Stromausfälle. Jedes dieser Szenarien kann eine WordPress-Website dauerhaft beschädigen, wenn keine Sicherung vorhanden ist.

Was das konkret bedeutet: Jahrelange Blogartikel, Produktbeschreibungen, Kundendaten, Bestellhistorien, Konfigurationen, alles, was nicht in einem Plugin-Repository liegt, ist weg. Ein frisch erstellter Inhalt, ein optimiertes Theme, eine individuell konfigurierte Shopseite, das alles lässt sich nur mit Zeit und Geld wiederherstellen, oft unvollständig.

Besonders tückisch ist die verzögerte Entdeckung. Schadsoftware, die sich in WordPress eingenistet hat, bleibt im Durchschnitt Wochen bis Monate unentdeckt. Bis Sie den Schaden bemerken, ist der infizierte Zustand in alle automatischen Snapshots Ihres Hosters eingeflossen. Der letzte saubere Stand ist überschrieben. Genau für diesen Fall brauchen Sie Archivstände, die länger vorgehalten werden als die typischen sieben Tage des Hoster-Snapshots.

Wenn es dann zu spät ist, beschreibt der Ratgeber Website gehackt: Der Notfallplan in fünf Schritten, wie die Bergung abläuft. Besser ist, diesen Fall durch eine solide Backup-Strategie gar nicht erst zu erreichen. Wer das Thema an einen Dienstleister auslagern möchte, findet im Ratgeber WordPress Wartungsvertrag: Kosten, Leistungen und was er im Ernstfall spart die Kriterien für einen guten Anbieter.

Warum das Hosting-Backup allein nicht reicht

Viele Betreiber wissen, dass ihr Hoster Backups macht, und halten das für ausreichend. Es ist ein sinnvoller erster Layer, aber kein vollständiger Schutz.

Das Problem liegt an zwei Stellen. Erstens: Hoster-Snapshots liegen häufig auf denselben Servern wie die Live-Website oder zumindest im selben Rechenzentrum. Bei einem schwerwiegenden Serverausfall oder einem gezielten Angriff sind beide gleichzeitig betroffen. Ransomware, die sich durch Ihr WordPress-System arbeitet, kann bei falschen Berechtigungen auch das Backup verschlüsseln, wenn es erreichbar ist.

Zweitens: Die Aufbewahrungsfristen sind kurz. Sieben Tage sind branchenüblich, manche Hoster bieten 14 oder 30 Tage. Schadsoftware, die sich unbemerkt einschleicht und erst nach fünf Wochen aktiv wird, hat zu diesem Zeitpunkt bereits alle Hoster-Snapshots überschrieben. Der saubere Stand existiert nicht mehr.

Eine eigenständige, extern gespeicherte Sicherung mit längerer Aufbewahrung schließt diese Lücke. Nur das macht Ihr Backup-Konzept zu einer echten Absicherung, nicht zu einem falschen Sicherheitsgefühl.

Die 3-2-1-Regel erklärt: drei Kopien, zwei Medien, ein externer Standort

Kurz gesagt: Die 3-2-1-Regel ist ein anerkanntes Backup-Prinzip: drei Kopien Ihrer Daten, auf mindestens zwei verschiedenen Medientypen, davon eine an einem physisch getrennten Standort. Kein einzelner Fehler kann dann alle drei Kopien gleichzeitig treffen.

Die Regel ist einfach und robust. Sie überlebt Szenarien, an die die meisten nicht denken, bis es zu spät ist.

Die erste Kopie ist Ihr Live-Datenbestand auf dem Webserver. Er ist keine Sicherung im eigentlichen Sinne, zählt aber als erste Instanz. Wenn der Server läuft, haben Sie diese Kopie.

Die zweite Kopie ist eine lokale Sicherung, die Sie selbst verwalten: ein NAS im Büro, eine externe Festplatte, ein eigener Server. Der Vorteil ist die schnelle Wiederherstellung ohne externe Abhängigkeit, die Daten liegen bei Ihnen. Der Nachteil: Ein Brand, Wasserschaden oder Einbruch trifft Produktivsystem und lokale Sicherung am selben Ort.

Die dritte Kopie verlässt Ihren Standort vollständig. Cloud-Speicher wie Amazon S3 oder Backblaze B2 sind verbreitete Ziele, aber auch ein separater Server in einem anderen Rechenzentrum eignet sich. Entscheidend ist ein Sicherheitsprinzip: Das externe Backup-Ziel darf keine direkten Schreibrechte vom Webserver erhalten. Ein kompromittierter Server darf Ihre externe Sicherung nicht löschen oder verschlüsseln können.

Drei Kopien bedeuten nicht dreifachen Aufwand. Mit einem einmalig konfigurierten Backup-Plugin läuft der Ablauf vollständig automatisch. Was es braucht, ist die einmalige Einrichtung und ein regelmäßiger Restore-Test.

Was ein vollständiges WordPress-Backup enthalten muss

Ein WordPress-Backup besteht aus zwei Teilen, die zusammengehören. Die offizielle WordPress-Dokumentation hält das fest: „In a typical WordPress setup, the answer is no“ auf die Frage, ob ein reiner Datei-Download die Datenbank abdeckt. Wer nur eines der beiden sichert, hat keine vollständige Sicherung.

Die Dateien

Zum Datei-Backup gehören der WordPress-Kern, alle installierten Themes, alle Plugins und, besonders wichtig, der Ordner /wp-content/uploads/. Dort liegen Ihre Bilder, PDFs und Mediendateien. Diese Inhalte lassen sich nicht aus einem Plugin-Repository neu laden, sie sind einmalig. Den Kern und die Plugins können Sie theoretisch neu installieren, Ihre Uploads nicht.

Die Datenbank

Die MySQL-Datenbank enthält alles, was Ihre Website inhaltlich ausmacht: Seiten, Beiträge, Einstellungen, Benutzerkonten, bei einem WooCommerce-Shop die gesamte Bestellhistorie und Kundendaten. Eine Dateisicherung ohne Datenbank ist eine leere Shell. Umgekehrt ist eine Datenbanksicherung ohne Dateien ebenfalls nicht wiederherstellbar, Sie bräuchten das Theme und die Plugins neu, um die Daten anzuzeigen.

Ein gutes Backup-Plugin sichert beide Teile in einem Durchgang und überträgt die Sicherung direkt ans externe Speicherziel.

Wie oft sichern? Der richtige Backup-Rhythmus für kleine Unternehmen

Die richtige Häufigkeit hängt davon ab, wie oft sich Ihre Daten ändern. Die WordPress-Dokumentation formuliert es direkt: Für aktive Websites gilt, dass „backups should be made daily“.

Für kleine Unternehmen hat sich ein dreistufiges Schema bewährt:

  • Täglich: Eine vollständige Sicherung aus Dateien und Datenbank. Diese läuft automatisch und wird nach einer definierten Zahl von Versionen überschrieben, zum Beispiel nach sieben Tagen.
  • Wöchentlich: Eine Kopie, die separat abgelegt und nicht durch die tägliche Rotation überschrieben wird. Sie überbrückt Fälle, in denen ein Problem erst nach einigen Tagen entdeckt wird.
  • Monatlich: Ein Archivstand, der mehrere Monate erhalten bleibt. Für den Fall, dass Schadsoftware monatelang unentdeckt war und alle kürzeren Stände kompromittiert sind.

Ein WooCommerce-Shop, in dem laufend Bestellungen eingehen, braucht häufigere Datenbanksicherungen. Täglich reicht für viele Shops, bei hohem Bestellvolumen ist ein engeres Datenbank-Intervall sinnvoll, damit kein Auftrag verloren geht. Stündliche Sicherungen bietet etwa UpdraftPlus allerdings nicht: Das kürzeste Intervall liegt sowohl in der kostenlosen als auch in der Premium-Version bei alle zwei Stunden (weiter: alle vier, alle acht Stunden, täglich, wöchentlich). Premium senkt das Intervall nicht auf eine Stunde, sondern ergänzt feste Uhrzeiten und inkrementelle Backups. Was darüber hinaus zu den monatlichen und jährlichen Aufgaben einer gepflegten WordPress-Website gehört, fasst der Ratgeber Website-Wartung: Was monatlich, was jährlich zu tun ist zusammen.

Eine reine Präsentationswebsite ohne tägliche Inhaltspflege kommt mit einer täglichen Vollsicherung aus. Wenn sich Ihre Inhalte wochenlang nicht ändern, ist auch ein wöchentlicher Rhythmus vertretbar, kombiniert mit monatlichen Archivständen.

Backup-Typen im Überblick: Häufigkeit, Speicherort, Aufbewahrung

Backup-Art Häufigkeit Speicherort Aufbewahrung Zweck
Hoster-Snapshot Täglich (automatisch) Selber Server / gleiches RZ 7 bis 30 Tage Schnelle Notfall-Option, kein Ersatz für eigenes Backup
Tägliche Vollsicherung Täglich Externer Cloud-Speicher (S3, B2) 7 bis 14 Versionen Hauptabsicherung gegen Ausfall und Bedienerfehler
Wöchentliche Sicherung Wöchentlich Externer Speicher, separates Verzeichnis 4 bis 8 Wochen Überbrückt spät entdeckte Probleme
Monatlicher Archivstand Monatlich Externer Speicher, separate Ablage 6 bis 12 Monate Schutz gegen lange unentdeckte Schadsoftware
Lokale Kopie Nach Bedarf oder automatisch NAS oder externer Datenträger im Büro Nach Speicherkapazität Schnelle Wiederherstellung ohne Netzabhängigkeit

Welche Tools das Backup übernehmen

Die drei verbreitetsten Backup-Plugins für WordPress sichern Dateien und Datenbank gemeinsam und können direkt an einen externen Speicher liefern.

UpdraftPlus ist in der kostenlosen Version für die meisten kleinen Websites ausreichend. Es unterstützt Amazon S3, Google Drive, Dropbox und andere externe Ziele, die Einrichtung ist unkompliziert, und die Dokumentation ist umfangreich. Für Websites mit größerem Datenvolumen oder WooCommerce lohnt sich ein Blick auf die kostenpflichtigen Erweiterungen.

Solid Backups (früher BackupBuddy) bietet einen vollständigen Migrations-Workflow und passt gut zu WooCommerce-Shops. Es ist kostenpflichtig und kommt mit einem dedizierten Restore-Assistenten, der im Ernstfall hilft.

BackWPup ist eine solide Open-Source-Alternative ohne Abo-Modell. Weniger poliert, aber zuverlässig und kostenlos.

Wichtiger als die Wahl des Plugins ist, dass ein externes Speicherziel eingerichtet ist und regelmäßige Restore-Tests stattfinden. Ein Plugin, das nur lokal sichert, löst das eigentliche Problem nicht.

Restore-Test: das vergessene Pflichtprogramm

Kurz gesagt: Ein Backup, das nie wiederhergestellt wurde, ist kein verlässliches Backup. Es könnte unvollständig sein, ein falsches Format haben oder auf einem System laufen, auf dem die Wiederherstellung blockiert. Das wissen Sie erst, wenn Sie es testen.

Die WordPress-Dokumentation empfiehlt, automatische Backups gelegentlich mit einem manuellen Test zu prüfen: „back up those auto backups with a manual backup once in a while to guarantee that the process is working.“

In der Praxis heißt das: Stellen Sie einmal im Quartal einen gesicherten Stand auf einer Staging-Umgebung wieder her und prüfen Sie, ob die Website vollständig und funktionsfähig ist. Dieser Test kostet wenig Zeit, wenn alles klappt. Er gibt Ihnen die Gewissheit, dass Ihr Backup-Prozess tatsächlich trägt. Was Staging genau ist und warum es für mehr als Backup-Tests nützlich ist, erklärt der Ratgeber Staging-Umgebung: Warum jede WordPress-Website eine Testkopie braucht.

Achten Sie beim Test auf zwei häufige Fehlerquellen. Manche Backup-Plugins übergehen Dateien oberhalb einer bestimmten Größe. Andere überspringen Verzeichnisse, wenn Dateiberechtigungen nicht stimmen. Beides fällt erst beim Restore auf, nicht beim Blick auf die grüne Statusmeldung des Plugins.

DSGVO und Backup: Was Pflicht ist

Wer personenbezogene Daten verarbeitet, also Kontaktformulare betreibt, einen Shop führt oder Nutzerdaten speichert, hat nach Art. 32 DSGVO eine gesetzliche Pflicht zur technischen Absicherung dieser Daten. Der Artikel fordert ausdrücklich „die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen.“ Ein funktionierendes Backup ist die konkrete technische Umsetzung dieser Anforderung.

Dazu kommt die Frage des Speicherorts. Backups, die personenbezogene Daten enthalten, müssen grundsätzlich in einem EU-Rechenzentrum liegen oder über einen Anbieter gehen, der ein angemessenes Datenschutzniveau bietet. Das schränkt die Wahl der Cloud-Speicher etwas ein, schließt aber Amazon S3 (EU-Region) oder Backblaze B2 (EU-Region) nicht aus. Wer auf Nummer sicher gehen will, wählt einen europäischen Cloud-Anbieter. Der Ratgeber DSGVO-Backup: Wo Ihre Sicherungen liegen dürfen geht auf die Details ein.

Wenn trotz aller Absicherung doch Kundendaten abgegriffen werden, gilt nach Art. 33 DSGVO eine Meldepflicht an die zuständige Datenschutzbehörde: unverzüglich, in der Regel binnen 72 Stunden nach Bekanntwerden des Vorfalls. Darauf sollte niemand unvorbereitet treffen.

Ein Beispiel aus der Praxis

In einem Projekt, das wir übernommen haben, lief ein WooCommerce-Shop seit rund einem Jahr ohne eigenständige Backup-Strategie. Der Hoster erstellte automatische Snapshots über sieben Tage, das war alles. Als ein Sicherheits-Scan auffällige Dateiänderungen meldete, stellte sich heraus, dass eine Backdoor seit mindestens sechs Wochen im System saß. Alle sieben Hoster-Snapshots enthielten bereits die kompromittierte Installation.

Die Wiederherstellung eines sauberen Zustands war aufwendig: manuell aus Protokolldaten, Git-Snapshots des Themes und einer Neuinstallation der Plugins zusammengebaut, Kundendaten mühsam aus Datenbank-Exporten rekonstruiert. Der Betreiber hatte die Kosten eines externen Backup-Dienstes (rund 2 Euro pro Monat für S3-Speicher) über ein Jahr gespart, die Bereinigung kostete das Zwanzigfache davon.

Mit einer täglichen Vollsicherung plus einem monatlichen Archivstand auf externem Cloud-Speicher wäre die Wiederherstellung ein Einspielen einer Backup-Datei gewesen, in ein bis zwei Stunden erledigt.

Schritt für Schritt: Backup mit UpdraftPlus einrichten

Wer noch kein eigenständiges Backup außerhalb des Hosters hat, kann es in unter einer Stunde mit UpdraftPlus einrichten. Das ist die praktischste Lösung für die meisten kleinen WordPress-Sites.

  1. Plugin installieren: Im WordPress-Backend unter Plugins → Installieren nach „UpdraftPlus“ suchen, installieren und aktivieren.
  2. Einstellungen öffnen: Unter Einstellungen → UpdraftPlus Backups den Reiter „Einstellungen“ öffnen.
  3. Backup-Rhythmus festlegen: Datei-Backups täglich, Datenbank-Backups täglich. Aufbewahrung auf sieben Versionen stellen.
  4. Externes Speicherziel wählen: Amazon S3, Google Drive oder Backblaze B2 auswählen und die Zugangsdaten hinterlegen. Dieser Schritt ist der wichtigste. Ohne externes Ziel liegen die Sicherungen nur lokal auf dem Webserver.
  5. Manuellen Backup starten: Über den Reiter „Backup / Wiederherstellen“ einmal manuell sichern und prüfen, ob die Datei im externen Speicher angekommen ist.
  6. Restore-Test einplanen: Einen Termin im Kalender setzen, spätestens in drei Monaten, um die Wiederherstellung auf einer Staging-Umgebung zu testen. Kein Test heißt keine Gewissheit.

Sofort-Checkliste: Ist Ihre Backup-Strategie vollständig?

  • Werden Dateien und Datenbank gemeinsam gesichert, nicht nur eines von beidem?
  • Liegt mindestens eine Sicherung auf einem Speicher außerhalb des Webservers (externer Cloud-Speicher oder lokales NAS)?
  • Werden täglich oder mindestens wöchentlich neue Versionen erstellt?
  • Gibt es einen Archivstand, der länger als 30 Tage vorgehalten wird?
  • Hat das externe Backup-Ziel keine direkten Schreibrechte vom Webserver?
  • Sind Backups, die personenbezogene Daten enthalten, verschlüsselt oder in einer EU-Region gespeichert?
  • Wurde die Wiederherstellung in den letzten drei Monaten einmal auf einer Staging-Umgebung getestet?
  • Wissen Sie, wie lange eine Wiederherstellung dauert, und haben Sie diesen Ablauf einmal durchgespielt?
Das Wichtigste zum Mitnehmen

  • Die 3-2-1-Regel ist das Fundament: drei Kopien, zwei Medientypen, eine außerhalb des Hauptstandorts.
  • Das Hosting-Backup ist ein erster Layer, kein vollständiger Schutz. Externe Speicherung und längere Aufbewahrung sind Pflicht.
  • Datenbank und Dateien müssen gemeinsam gesichert werden. Fehlt eine Komponente, ist das Backup nicht wiederherstellbar.
  • Ein Backup ohne Restore-Test ist eine unbelegte Hoffnung. Einmal im Quartal testen, bevor der Ernstfall das erzwingt.

Häufige Fragen

Wie lange dauert die Wiederherstellung einer WordPress-Website aus einem Backup?

Das hängt von der Datenmenge und der Server-Verbindung ab. Eine überschaubare Unternehmenswebsite lässt sich bei guter Vorbereitung in ein bis zwei Stunden wiederherstellen. Größere WooCommerce-Shops mit umfangreicher Medienbibliothek brauchen je nach Datenvolumen länger. Entscheidend ist, dass der Ablauf vorher einmal geübt wurde, damit im Ernstfall niemand improvisieren muss.

Reicht das automatische Backup meines Webhostings als alleinige Sicherung?

Nein. Hoster-Backups liegen meist auf denselben oder benachbarten Systemen, werden nur kurz vorgehalten und können bei einem Serverangriff mitbetroffen sein. Sie sind ein sinnvoller erster Layer, ersetzen aber keine eigenständige, extern gespeicherte Sicherung mit längerer Aufbewahrungsdauer. Das gilt auch, wenn der Hoster täglich sichert.

Muss ich mein Backup verschlüsseln?

Wenn Ihre Backups personenbezogene Daten enthalten, also Kontaktanfragen, Kundendaten, Bestelldaten, dann schreibt Art. 32 DSGVO eine geeignete Absicherung vor. Verschlüsselung ist die sauberste technische Umsetzung. UpdraftPlus bietet eine Verschlüsselungsoption für das Backup-Archiv. Alternativ schützt ein Cloud-Speicher mit serverseitiger Verschlüsselung und Zugriffsbeschränkung die Daten in Ruhe.

Wie viel Speicherplatz braucht ein WordPress-Backup?

Das kommt auf die Größe Ihrer Medienbibliothek an. Eine reine Textseite ohne viele Bilder liegt oft unter 100 MB pro Vollbackup. Ein WooCommerce-Shop mit Produktfotos kann schnell mehrere Gigabyte erreichen. Bei täglichen Vollbackups über sieben Tage multipliziert sich das entsprechend. Cloud-Speicher wie S3 oder Backblaze B2 kostet für die meisten kleinen Websites nur wenige Euro pro Monat.

Welche Backup-Häufigkeit empfiehlt WordPress selbst?

Die offizielle WordPress-Dokumentation empfiehlt für aktive Websites tägliche Backups. Für kleinere Websites, die sich seltener ändern, gelten wöchentliche Sicherungen als Minimum. Wichtig: Das betrifft die eigene Backup-Strategie, nicht den Hoster-Snapshot.

Was passiert mit dem Backup, wenn mein Hoster die Website sperrt?

Wenn Ihr Backup ausschließlich beim Hoster liegt, ist es im Sperrfall möglicherweise nicht zugänglich. Genau deshalb ist ein externes Backup auf eigenem Cloud-Speicher oder lokal wichtig: Sie haben jederzeit unabhängigen Zugriff auf Ihre Daten, unabhängig vom Verhältnis zum Hoster.

Quellen und weiterführende Informationen: BSI: Datensicherung und Datenverlust, WordPress Developer: Backups (offizielle Dokumentation), Art. 32 DSGVO: Sicherheit der Verarbeitung, Art. 33 DSGVO: Meldepflicht bei Datenpannen, BSI: Sicherheitsempfehlungen für Webanwendungen. Stand: Juni 2026. Dieser Artikel ist eine fachliche Einordnung und ersetzt keine Rechts- oder Datenschutzberatung im Einzelfall.