Zum Inhalt springen
← Alle Beiträge

Backups, die im Ernstfall wirklich funktionieren

Die meisten Backups scheitern im Ernstfall – am falschen Speicherort, an halben Sicherungen oder daran, dass nie ein Restore geprobt wurde. So bauen Sie eine Strategie, die wirklich trägt.

Ein WordPress Backup, das noch nie wiederhergestellt wurde, ist kein Backup – es ist eine Hoffnung. Diesen Satz sage ich jedem neuen Wartungskunden, und fast jedes Mal folgt betretenes Schweigen. Die unbequeme Wahrheit aus meiner Praxis: Die meisten Websites haben irgendeine Form von Sicherung, aber die wenigsten überstehen damit einen echten Ernstfall – den gehackten Shop am Freitagabend, das fehlgeschlagene Update, den Hoster, dessen Server samt „Backups“ ausfällt. In diesem Artikel zeige ich Ihnen, wie eine Backup-Strategie aussieht, die im entscheidenden Moment tatsächlich funktioniert: was gesichert werden muss, wie Sie es automatisieren, warum der Restore-Test der wichtigste Schritt ist – und an welchen typischen Fehlern Backups in der Realität scheitern.

Warum die meisten Backups im Ernstfall versagen

Bevor wir zur richtigen Strategie kommen, die Hitliste der Ausfälle, die ich in Rettungseinsätzen immer wieder sehe:

  • Das Backup liegt auf demselben Server wie die Website. Fällt der Server aus oder wird die Site gehackt, sind Original und Kopie gleichzeitig weg. Das ist der häufigste und teuerste Fehler.
  • Es wurde nur „die Hälfte“ gesichert. Nur die Dateien ohne Datenbank – oder umgekehrt. Beides allein ist wertlos: Die Website besteht aus beidem.
  • Die Sicherung läuft seit Monaten still auf Fehler. Das Backup-Plugin bricht wegen Speicherlimit oder PHP-Timeout ab, niemand liest die Fehlermeldung. Entdeckt wird das erst, wenn man das Backup braucht.
  • Der Hack ist älter als das älteste Backup. Wer nur sieben Tage aufbewahrt und einen drei Wochen alten Schadcode findet, hat nur saubere Kopien von kompromittierten Ständen.
  • Niemand hat je eine Wiederherstellung geprobt. Im Ernstfall stellt sich heraus: Das Archiv ist unvollständig, das Passwort für den Backup-Speicher kennt niemand, und wie der Restore genau geht, weiß auch keiner.

Jeder einzelne dieser Punkte ist vermeidbar – mit einer Strategie, die auf drei Zahlen aufbaut.

Die 3-2-1-Regel – der Goldstandard, auch für Websites

Aus der IT-Welt stammt eine simple Formel, die sich seit Jahrzehnten bewährt: 3 Kopien Ihrer Daten (das Original plus zwei Sicherungen), auf 2 verschiedenen Speicherarten, davon 1 Kopie außer Haus. Übersetzt auf eine WordPress-Website heißt das konkret: Die Live-Site auf dem Webserver ist das Original. Das Hosting-Backup des Providers ist die erste Kopie. Und ein automatisiertes eigenes Backup in einen externen Speicher – etwa S3-kompatiblen Cloud-Storage, Google Drive oder einen Server bei einem anderen Anbieter – ist die zweite, die entscheidende. Denn sie funktioniert auch dann noch, wenn Ihr Hoster komplett ausfällt, Ihr Account gesperrt wird oder ein Angreifer den Server samt lokaler Sicherungen verschlüsselt.

Das Kostenargument zieht dabei nicht mehr: Externer Cloud-Speicher für die Backups einer typischen Firmenwebsite kostet heute wenige Euro im Monat – oft weniger als ein Kaffee. Verglichen mit dem Schaden eines einzigen Totalausfalls ist die externe Kopie die billigste Versicherung, die Sie für Ihre Website abschließen können.

Was gesichert werden muss: Datenbank und Dateien

Die Datenbank – das Herz der Website

In der Datenbank stecken alle Inhalte, Einstellungen, Benutzer, Kommentare – und bei einem WooCommerce-Shop sämtliche Bestellungen und Kundendaten. Sie ändert sich am häufigsten und ist deshalb der Teil mit der höchsten Sicherungsfrequenz. Bei einem Shop bedeutet jede verlorene Stunde Datenbank verlorene Bestellungen; dort sichere ich die Datenbank stündlich bis täglich, bei einer Firmenwebsite mit gelegentlichen Blogartikeln reicht täglich bis wöchentlich.

Ein Nebenaspekt, der gern vergessen wird: In Backups eines Shops stecken personenbezogene Daten – Namen, Adressen, Bestellhistorien. Damit gelten die Regeln der DSGVO auch für Ihre Sicherungen. Konkret heißt das: Backup-Speicher mit Serverstandort in der EU wählen, Archive verschlüsseln (bei sensiblen Daten Pflicht, bei allen anderen gute Praxis) und die Aufbewahrungsdauer bewusst festlegen statt endlos zu horten. Ein unverschlüsseltes Kundendaten-Archiv in irgendeinem Cloud-Ordner ist kein Sicherheitsnetz, sondern ein zweites Datenleck, das nur auf seinen Auftritt wartet.

Die Dateien – mehr als nur die Uploads

Zum vollständigen Datei-Backup gehören der Ordner wp-content/uploads (alle Bilder und Dokumente, oft mehrere Gigabyte und nirgendwo sonst rekonstruierbar), Themes und Plugins inklusive aller individuellen Anpassungen sowie wp-config.php und .htaccess – die beiden Dateien, die bei jeder Wiederherstellung als Erstes fehlen. WordPress-Core selbst muss streng genommen nicht gesichert werden, er lässt sich jederzeit frisch herunterladen; ich sichere ihn trotzdem mit, weil ein komplettes Archiv den Restore von Stunden auf Minuten verkürzt.

Automatisierung: Backups, an die niemand denken muss

Manuelle Backups scheitern an der menschlichen Natur – nach drei Wochen denkt niemand mehr daran. Die Sicherung muss automatisch laufen, und sie muss sich melden, wenn sie fehlschlägt. Drei bewährte Wege:

  1. Backup-Plugin mit externem Ziel: Werkzeuge wie UpdraftPlus sichern Datenbank und Dateien nach Zeitplan direkt in externe Speicher wie S3, Google Drive oder Dropbox. Für die meisten Websites die pragmatischste Lösung – wichtig ist, das Ziel außerhalb des Webservers zu wählen und die E-Mail-Benachrichtigung bei Fehlern zu aktivieren.
  2. Server-seitig per WP-CLI und Cronjob: Mein bevorzugter Weg bei Kundenprojekten: ein kleines Skript exportiert die Datenbank per wp db export, packt die Dateien und schiebt das Archiv verschlüsselt auf einen externen Speicher. Läuft unabhängig von WordPress selbst – und funktioniert damit auch, wenn die Site bereits nicht mehr erreichbar ist.
  3. Hosting-Backups als Ergänzung: Automatische Snapshots des Providers sind wertvoll für schnelle Wiederherstellungen – aber als alleinige Lösung ungeeignet, dazu gleich mehr.

Unabhängig vom gewählten Weg gilt eine eiserne Regel: Vor jedem Update von Core, Theme oder Plugins wird zusätzlich manuell gesichert – als definierter Absprungpunkt. Ein fehlgeschlagenes Update mit frischem Backup ist eine Fußnote von zehn Minuten; dasselbe Update ohne Backup kann einen ganzen Arbeitstag kosten. Die meisten Backup-Werkzeuge bieten dafür einen Ein-Klick-Snapshot – nutzen Sie ihn konsequent.

Zur Aufbewahrung: Ich halte üblicherweise 14 tägliche, 4 wöchentliche und 3 monatliche Stände vor. So lässt sich auch ein Problem beheben, das erst nach Wochen auffällt – wie eingeschleuster Schadcode. Wie Backups mit Updates und Sicherheits-Monitoring zusammenspielen, habe ich im Artikel über die Unverzichtbarkeit regelmäßiger WordPress-Wartung beschrieben – die Sicherung ist dort das Sicherheitsnetz für jeden einzelnen Update-Schritt.

Hosting-Backup, Plugin oder eigenes Skript? Der Vergleich

Ansatz Stärken Schwächen
Hosting-Backup des Providers Läuft ohne eigenes Zutun, schnelle Komplett-Wiederherstellung Liegt in derselben Infrastruktur, Aufbewahrung oft nur 7–14 Tage, kein Zugriff bei Account-Sperre
Backup-Plugin (z. B. UpdraftPlus) Einfach eingerichtet, externe Ziele, selektiver Restore einzelner Komponenten Läuft innerhalb von WordPress – bricht bei großen Sites an PHP-Limits ab, Fehler bleiben ohne Monitoring unbemerkt
Server-seitiges Skript (WP-CLI + Cron) Unabhängig von WordPress, robust auch bei großen Datenmengen, frei konfigurierbare Aufbewahrung Braucht Shell-Zugang und Einrichtung durch jemanden, der weiß, was er tut
Manuelles Backup „bei Gelegenheit“ Besser als nichts Findet nach der zweiten Woche nicht mehr statt – keine Strategie, sondern Glücksspiel

Der Restore-Test: die Übung, die fast niemand macht

Und damit zum wichtigsten Abschnitt dieses Artikels. Ein Backup beweist seinen Wert ausschließlich im Restore – und genau der wird fast nie geprobt. Mein Vorgehen bei betreuten Websites: Mindestens zweimal im Jahr wird ein aktuelles Backup auf einer separaten Staging-Umgebung komplett wiederhergestellt. Geprüft wird, ob die Site vollständig läuft: Startseite, Unterseiten, Formulare, beim Shop der Bestellprozess. Dabei wird auch die Zeit gestoppt – denn im Ernstfall ist die relevante Frage nicht „Haben wir ein Backup?“, sondern „Wie lange stehen wir still?“. Ein geprobter Restore dauert 30 bis 60 Minuten; ein ungeprobter dauert gern einen ganzen Tag, verteilt auf Panik, Passwortsuche und Support-Tickets. Wenn Sie diesen Test noch nie gemacht haben, machen Sie ihn diese Woche – er verwandelt Ihre Hoffnung in Gewissheit oder deckt rechtzeitig auf, dass Ihre Sicherung wertlos ist. Beides ist ein Gewinn.

Hosting-Backups: gut, aber nicht genug

„Mein Hoster macht doch Backups“ höre ich oft – und ja, gute Provider tun das. Aber verlassen Sie sich nie allein darauf: Die Sicherungen liegen in derselben Infrastruktur wie Ihre Website, die Aufbewahrung ist meist auf ein bis zwei Wochen begrenzt, und bei einem gesperrten Account oder einer Insolvenz des Anbieters kommen Sie an gar nichts mehr heran. Hosting-Backups sind eine hervorragende erste Verteidigungslinie für den schnellen Alltags-Restore – die zweite, eigene und externe Kopie ersetzen sie nicht. Wer unsicher ist, wie die eigene Konstellation aussieht, dem verschafft eine kurze technische Beratung Klarheit: Backup-Situation prüfen, Lücken benennen, Strategie festlegen – das ist an einem halben Tag erledigt.

Fazit

Eine Backup-Strategie, die den Ernstfall übersteht, ist keine Raketenwissenschaft: Datenbank und alle Dateien sichern, nach der 3-2-1-Regel mindestens eine Kopie außer Haus, Automatisierung mit Fehlerbenachrichtigung, gestaffelte Aufbewahrung über mehrere Wochen – und zweimal im Jahr ein echter Restore-Test auf Staging. Das Hosting-Backup ist dabei Ergänzung, nicht Fundament. Wer diese Punkte umsetzt, macht aus dem potenziellen Totalschaden einen ärgerlichen, aber kontrollierten Zwischenfall von einer Stunde.

Wenn Sie das nicht selbst aufsetzen und dauerhaft im Blick behalten wollen: In meiner Website-Betreuung und Wartung sind externe Backups mit Monitoring und regelmäßigen Restore-Tests fester Bestandteil – Sie bekommen die Gewissheit, ohne sich selbst darum kümmern zu müssen. Schreiben Sie mir über das Kontaktformular, und ich sage Ihnen ehrlich, wo Ihre aktuelle Sicherung steht.

Häufige Fragen

Wie oft sollte man ein WordPress Backup machen?

Das hängt davon ab, wie oft sich Ihre Daten ändern. Für einen WooCommerce-Shop mit laufenden Bestellungen: Datenbank stündlich bis täglich, Dateien täglich. Für eine Firmenwebsite mit gelegentlichen Änderungen: täglich bis wöchentlich. Zusätzlich gehört vor jedem Update von Core, Theme oder Plugins eine frische Sicherung – als Absprungpunkt, falls etwas schiefgeht.

Reichen die automatischen Backups meines Hosters?

Als alleinige Lösung nein. Hosting-Backups liegen in derselben Infrastruktur wie Ihre Website, werden meist nur 7 bis 14 Tage aufbewahrt und sind bei Account-Sperre oder Anbieter-Ausfall unerreichbar. Nutzen Sie sie als schnelle erste Verteidigungslinie – und ergänzen Sie eine eigene, automatisierte Sicherung auf externen Speicher nach der 3-2-1-Regel.

Wie lange sollte man Backups aufbewahren?

Länger als die meisten denken. Bewährt hat sich eine Staffelung: etwa 14 tägliche, 4 wöchentliche und 3 monatliche Stände. Der Grund: Probleme wie eingeschleuster Schadcode fallen oft erst nach Wochen auf – wer nur sieben Tage vorhält, besitzt dann ausschließlich Kopien der bereits kompromittierten Website.

Wie teste ich ein Backup, ohne die Live-Website zu gefährden?

Niemals auf der Live-Site testen. Stellen Sie das Backup auf einer separaten Staging-Umgebung wieder her – einer Subdomain, einem lokalen Server oder einem günstigen Zweit-Hosting. Prüfen Sie danach Startseite, Unterseiten, Formulare und beim Shop den Bestellprozess, und stoppen Sie die benötigte Zeit. Zweimal pro Jahr durchgeführt, macht dieser Test aus einer Hoffnung eine belastbare Strategie.

Gratis-Checkliste: 10 Punkte vor dem Website-Livegang

Praxis-Tipps aus echten Projekten — direkt in Ihr Postfach, kein Spam. Jederzeit abbestellbar.

    Alex
    Alex · Buntweb

    Web-Entwickler und IT-Dienstleister aus Wien. Seit über zehn Jahren baue und betreue ich Websites und Onlineshops — mit Fokus auf saubere Technik, ehrliche Beratung und Lösungen, die im Alltag funktionieren.

    Frage stellen