Backup mit WordPress erstellen – einfach, kostenlos und zuverlässig

Backup mit WordPress erstellen – einfach, kostenlos und zuverlässig

Wenn es dir auch schon einmal passiert ist, weißt du: Es gibt fast nichts Schlimmeres, als wenn deine mühsam mit Liebe erstellte Website auf einmal weg ist.

Passieren kann ja Einiges – deine Website wurde gehackt, nach einem Update funktioniert plötzlich gar nichts mehr, beim Webhoster lief etwas gehörig schief (sehr sehr selten), oder du hast aus Versehen etwas Wichtiges gelöscht.

In jedem Fall macht es Sinn, ein Backup, also eine Sicherungskopie, einzurichten. In diesem Artikel und zugehörigen Video zeige ich dir, wie du das ganz einfach und kostenlos in WordPress machen kannst und wie du das Backup so einrichtest, dass es regelmäßig automatisch ausgeführt wird (sonst hättest du ja wieder ein ToDo mehr auf der Liste „an ein Backup denken“ – nein, danke!).

Was ein Backup macht

WordPress besteht ja im Grunde aus verschiedensten Dateien in einer Ordnerstruktur. Das sind z.B. die Ordner:

  • Plugins – für die von dir installierten Plugins für zusätzliche Funktionen in WordPress
  • Themes – für die von dir installierten und vorinstallierten Themes, die das Design von deiner Website mit bestimmen
  • Uploads – für die von dir hochgeladenen Dateien – Bilder, PDF Dateien und mehr

Außerdem nutzt WordPress eine Datenbank, in der Informationen zu deiner Website und die eigentlichen Textinhalte für Blogartikel und Seiten, aber auch Benutzerdaten, Kommentare und vieles mehr in einer Art Tabellenform gespeichert sind. Fast alle Plugins nutzen einerseits Dateien, die die Funktionen bereitstellen (z.B. Kommentare schreiben), aber auch die Datenbank, um dort die Inhalte der Plugins zu speichern (z.B. die Kommentare selbst inkl. Zeitstempel, Autorenname und mehr).

Bei einem Backup können und sollten sowohl die Ordner als auch die Datenbank gespeichert werden, sodass man im Ernstfall alles wieder retten, also zurückspielen kann.

Das Plugin Updraft Plus installieren & einrichten

Eins der beliebtesten WordPress Plugins für Backups ist UpdraftPlus. Über Plugins -> Installieren kannst du das Plugin finden, installieren und aktivieren.

UpdraftPlus Backup Plugin in WordPress

Danach erscheint der Einrichtungsassistent, bei dem du „Drück hier, um zu starten!“ klicken kannst. Oder du rufst einfach auf der Plugin Übersichtsseite den Punkt „Einstellungen“ auf.

UpdraftPlus einrichten mit Assistenten

Bevor du dann direkt loslegen kannst, musst du den Tab „Einstellungen“ aufrufen.

Updraft Plus Einstellungen schedule und ziel

Im oberen Bereich kannst du festlegen, wie oft die Dateien und Datenbank gesichert werden sollen und wie viele Versionen beibehalten werden sollen, bevor alte Backups wieder von den neuen überschrieben werden. Was du hier wie auswählst, beschreibe ich näher im nächsten Abschnitt (Backup Schedule festlegen).

Im Bereich darunter wählst du aus, wohin deine Daten gesichert werden sollen. In der kostenlosen Version von UpdraftPlus gibt es ein paar Einschränkungen, aber die zwei von mir empfohlenen Varianten sind trotzdem möglich:

Variante 1: Google Drive – Die Variante, die ich mittlerweile immer nutze ist ein Backup auf dem Google Drive. Hier werden deine Daten unabhängig von deinem Webhoster gespeichert und sind auch dann verfügbar, falls mal etwas mit deinem Webhoster sein sollte. Ist zwar sehr unwahrscheinlich, aber man weiß ja nie …
Wenn du Google Drive ausgewählt hast, musst du ganz nach unten scrollen und auf „Änderungen speichern“ klicken, danach öffnet sich ein gelbes Popup mit dem Hinweis „Remote-Speicher-Authentifizierung“, wo du den Links folgst und dein Google Konto verbindest.

Remote Speicher verbinden Google

Am Ende musst du nur dem Button „Complete Setup“ drücken, um wieder zu deinen UpdraftPlus Einstellungen zurückzukehren.

google setup updraft plus

Ab jetzt kannst du auch manuelle Backups machen, da alles richtig konfiguriert ist.
Falls du kein Freund von Google bist, kannst du dir natürlich auch eigens für den Zweck des Backups ein anonymes Konto einrichten (meintollesbackup123@gmail.com).

Variante 2: FTP – Du wählst FTP als Ziel aus und trägst die FTP Daten von deinem Webhoster ein. Die Daten werden dann am gleichen Platz gesichert, wo auch deine WordPress Daten liegen. Da der Webhoster aber auch regelmäßig Backups machst, ist es sehr sehr unwahrscheinlich, dass im Falle eines Hackerangriffs wirklich alles gelöscht wird. Falls du das FTP Backup einrichten möchtest, kannst du die FTP Daten nachschauen oder anlegen, in dem du je nach Webhoster im Verwaltungsbereich beim Punkt „FTP“ deine Zugangsdaten ausliest, oder einen neuen Account dafür einrichtest:

FTP Account einrichten bei all inkl

Im Video ganz unten zeige ich dir die Einrichtung mit der Variante 1.

 

Backup Schedule festlegen

Da ein Backup immer nur zu einem bestimmten Zeitpunkt gemacht wird, sind im Notfall die allerletzten Änderungen vielleicht noch nicht gespeichert und man verliert trotzdem ein paar Daten. Falls dein Backup z.B. einmal pro Woche am Sonntag ausgeführt wird, du aber am Dienstag an der Website gearbeitet hast und diese am Mittwoch durch ein Update „zerstört“ wurde, wirst du nur den Stand von Sonntag wiederherstellen können. Trotzdem ist das natürlich immer besser, als komplett bei 0 anzufangen.

Im Einstellungstab kannst du festlegen, wie häufig deine Dateien und deine Datenbank gesichert werden sollen und wie viele Sicherungen jeweils aufbewahrt werden sollen, bevor sie gelöscht werden. Wenn du z.B. als Rhythmus wöchentlich wählst und Aufbewahren von 4 Sicherungen, dann wird deine Sicherung von vor 5 Wochen gelöscht, sobald die 5. neue Sicherung erstellt wird. Du hast damit zu jedem Zeitpunkt maximal 4 Versionen vorliegen.

Was genau du hier einstellst, ist eine individuelle Entscheidung und hängt unter anderem davon ab, wie häufig du an deiner Website arbeitest.

  • Du solltest eine tägliche Sicherung der Dateien in Betracht ziehen, wenn du täglich Plugins updatest (oder automatisch updaten lässt).
  • Du solltest eine tägliche Sicherung der Datenbank in Betracht ziehen, wenn du täglich neue Inhalte (Seiten, Blogbeiträge) erstellst, oder bestehende bearbeitest.
  • Bei der Kombination aus „Ich arbeite täglich an der Seite, prüfe sie im Detail aber nicht so oft“, kannst du auch ruhig mehr als 4 Versionen speichern lassen. Dies belegt dann halt mehr Speicherplatz bei Google oder auf dem Webserver.
  • Wenn du deine Website fertig gestellt hast und automatische Updates nicht aktiviert sind, kannst du auch eine 14-tägige oder sogar monatliche Häufigkeit einstellen. Ich würde dir dann empfehlen, nach 14 Tagen bzw. einem Monat auch deine Updates und Themes zu aktualisieren und einmal zu prüfen, ob auf deiner Website alles so aussieht und funktioniert, wie es sollte.

Als Standard empfehle ich immer eine wöchentliche Sicherung mit 4 Versionen beibehalten.

Backup händisch machen

Du kannst neben dem geschedulten Backup auch immer manuell ein Backup machen. Manuelle Backups empfehle ich dir immer:

  • bevor du Updates installierst, gerade wenn es größere Updates sind (z.B. WordPress auf eine neue Version aktualisiert werden kann)
  • bevor du größere Einstellungen an deiner Seite bearbeiten möchtest (z.B. das Theme bearbeiten, um dein Layout anzupassen)
  • bevor du umfangreiche Arbeiten an deiner Website vornimmst, etwas neu strukturierst o. Ä.
  • bevor du etwas von deiner Website löschst – Artikel, Seiten, Plugins & Co.

Für ein händisches Backup rufst du Updraft Plus über Einstellungen -> Updraft Plus Sicherungen auf.

Du klickst dann auf den Button „Jetzt sichern„. Das funktioniert nur, wenn du vorher unter den Updraft Plus Einstellungen ein Ziel (Ordner, Google Drive, …) für dein Backup eingerichtet hast.

Updraft Plus manuell sichern

Im nächsten Schritt öffnet sich ein Fenster, in dem du die voreingestellten Haken alle so lassen kannst. Falls du möchtest, dass die Sicherung nicht automatisch durch dein regelmäßiges Backup überschrieben wird, hake auch noch ganz unten den Punkt an:
  Erlaube nur das manuelle Entfernen dieser Sicherung (behalte es z. B., auch wenn Aufbewahrungsfristen überschritten sind).

 

Wie du ein Backup zurückspielen kannst

Auch das ist bei UpdraftPlus super einfach:

Du scrollst auf der Übersichtsseite nach unten zu den bestehenden Sicherungen und wählst – in den meisten Fällen – die aktuellste Sicherung aus, die ganz oben steht. Falls du weißt, dass du eine frühere Version benötigst, suchst du die Sicherung mit dem entsprechenden Datum heraus.

Updraft Plus Sicherung wiederherstellen

Nach einem Klick auf den blauen Button „Wiederherstellen“ kannst du auswählen, welche Komponenten wiederhergestellt werden sollen. Wenn du dir unsicher bist, wähle alle aus, und klicke dann auf Weiter:

Komponenten für Backup auswählen

Im nächsten Schritt siehst du, wie die Sicherung zurückgeschrieben wird:

Backup wird zurueckgesichert

Wenn dies abgeschlossen ist, musst du im letzten Schritt nochmal bestätigen, dass du auch wirklich wirklich das Backup zurückhaben möchtest – damit wird ja die aktuelle Version deiner Seite überschrieben.

Mit dem Klick auf „Wiederherstellen“ beginnt dann der eigentliche Prozess.

Backup zuruecksichern

Wenn alles abgeschlossen ist, sollte dir ein „Restore Successfull“ angezeigt werden.

Updraft Plus - Wiederherstellung erfolgreich

Du kannst dann auf den Button klicken: „Zur UpdraftPlus-Konfiguration zurückkehren“, um wieder zur Übersichtsseite zu gelangen.

 

Video zur Einrichtung des Backup

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

SSL Zertifikat für WordPress Website ganz einfach einrichten

SSL Zertifikat für WordPress Website ganz einfach einrichten

Vermutlich hast du es beim Surfen auch schonmal gesehen, dass oben in der Adressleiste Not Secure oder Nicht Gesichert steht. Das liegt daran, dass auf der entsprechenden Website keine SSL Verschlüsselung aktiviert ist: 

SSL Zertifikat fehlt - not secure

Die ist allerdings wichtig und laut der DSGVO auch Pflicht, damit die Daten gesichert übertragen werden, falls du z.b. ein Kontaktformular ausfüllst, eine Bestellung tätigst oder sonstige Daten von dir übertragen werden.

Eine nicht mit SSL verschlüsselte Seite ist über eine Adresse mit http:// vorne aufrufbar, also z.B. https://stefaniemotiwal.de.
Wenn die Seite mit SSL verschlüsselt ist, steht nicht mehr http:// da sondern https:// – https://stefaniemotiwal.de 

Wenn du WordPress nutzt und deine Seite mit SSL verschlüsseln möchtest, gehst du wie folgt vor:

 

  • Du loggst dich bei deinem Webhoster ein und prüfst, ob du schon ein SSL Zertifikat für deine Domain (Webadresse hast) –  bei All-inkl kannst du im KAS System prüfen, ob sich neben deiner Domain ein Schloßsymbol befindet:
SSL Zertifikat
  • Ist dies nicht der Fall, müsstest du eine SSL Verschlüsselung aktivieren oder beantragen. Je nach Webhoster kostet dies evtl. auch eine monatliche Gebühr. Bei All-Inkl sind ab dem Privat Plus Tarif alle SSL Zertifikate für beliebig viele Adressen kostenlos mit dabei (sonst 1€ pro Monat), bei Strato und Ionos sind es pro Domain ca. 4 Euro monatlich, die extra anfallen. Prüfe also hier einmal, wie die Konditionen bei dir sind.
  • Wenn du auf den Bearbeiten Button neben deiner Domain klickst, kannst du hier ein SSL Zertifikat beantragen:
SSL Schutz bearbeiten

Klicke auf „deaktiviert, bearbeiten“ um ein SSL Zertifikat zu erzeugen.

Lets Encrypt Zertifikat beziehen

Wähle Haftungsausschluss akzeptieren und klicke auf den Button.

SSL erzwingen

Es gibt noch die Option „SSL erzwingen“, damit alle alten Aufrufe der http:// Adresse automatisch an https:// weitergeleitet werden. Dies solltest du aktivieren. 

Wenn alles geklappt hat, loggst du dich als Administrator in WordPress ein und öffnest das Dashboard. 

Nun rufe die Einstellungen -> Allgemein auf und ersetze die WordPress-Adresse (URL) und die Website-Adresse (URL) mit der https Adresse: 

Neue Adresse eingeben 1

Vorher – die Adressen stehen noch mit http eingetragen

Neue Adresse eingeben 2

Nachher – die Adressen stehen jetzt mit https eingetragen

Danach musst du dich nochmal neu einloggen. 

Wenn du Glück hast, ist jetzt schon alles korrekt verschlüsselt, was du im Browser am Schloßsymbol erkennst: 

Korrekte Verschlüsselung

Im folgenden Video zeige ich dir die Schritte noch einmal: 

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

Better Search Replace

Falls du im Browser neben der Adresse dann trotzdem auf einer Unterseite noch Info or Not Secure angezeigt bekommst:

Info or not secure
sind noch einige Ressourcen – vermutlich Bilder – über http statt https eingebunden. Entweder kannst du deine Bilder nochmal neu hochladen und auf der jeweiligen Seite mit der Fehlermeldung neu einbinden, oder du nutzt das kostenlose WordPress Plugin Better Search Replace dafür.

Wie du hier vorgehst, zeige ich dir im folgenden Video:

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

Wenn alles geklappt hat, loggst du dich als Administrator in WordPress ein und öffnest das Dashboard. 

Nun rufe die Einstellungen -> Allgemein auf und ersetze die WordPress-Adresse (URL) und die Website-Adresse (URL) mit der https Adresse: 

Neue Adresse eingeben 1

Vorher – die Adressen stehen noch mit http eingetragen

Neue Adresse eingeben 2

Nachher – die Adressen stehen jetzt mit https eingetragen

Danach musst du dich nochmal neu einloggen. 

Wenn du Glück hast, ist jetzt schon alles korrekt verschlüsselt, was du im Browser am Schloßsymbol erkennst: 

Korrekte Verschlüsselung

Im folgenden Video zeige ich dir die Schritte noch einmal: 

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

Better Search Replace

Falls du im Browser neben der Adresse dann trotzdem auf einer Unterseite noch Info or Not Secure angezeigt bekommst:

Info or not secure
sind noch einige Ressourcen – vermutlich Bilder – über http statt https eingebunden. Entweder kannst du deine Bilder nochmal neu hochladen und auf der jeweiligen Seite mit der Fehlermeldung neu einbinden, oder du nutzt das kostenlose WordPress Plugin Better Search Replace dafür.

Wie du hier vorgehst, zeige ich dir im folgenden Video:

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

Ich hoffe, dass deine Website nun korrekt verschlüsselt ist und alles gut geklappt hat. Falls nicht, schreib mir gern und wir schauen uns das Ganze einmal zusammen an! 

Wie du deine WordPress Website sicherer machst

Wie du deine WordPress Website sicherer machst

WordPress ist das meistgenutzte Content-Management-System der Welt. Das zeigt, wie großartig es ist, macht es aber auch zum beliebten Ziel für Angriffe aller Art. Nach der Installation und Einrichtung solltest du dich noch nicht entspannt zurücklehnen, sondern mit den nachfolgenden Schritten schauen, ob du bei deinem WordPress noch etwas optimieren kannst:

Sicheres Passwort wählen

Vergib unbedingt ein sicheres (=langes, komplexes) Administrator Passwort! Lass dies am beste von deinem Browser generieren und notfalls speichern. Und wie immer gilt: Nutze nicht überall das gleiche Passwort 🙂 Sonst ist vielleicht neben WordPress auch noch gleich dein E-Mail-Postfach und dein Facebook Account gehackt.

Suche dir zugleich am besten schon bei der WordPress Installation einen persönlichen Benutzernamen aus (statt dem Standard admin) und lösche nachträglich den admin Nutzer, falls er doch schon angelegt wurde.

Plugins, Themes und WordPress selbst aktuell halten:

Die meisten Angriffe werden durch veraltete Plugins und Themes (oder zu einfache Passworte) möglich gemacht. Um hier immer auf dem neuesten Stand zu sein, solltest du nicht nur WordPress, sondern auch alle installierten Erweiterungen sehr regelmäßig, am besten alle 2-4 Wochen, aktualisieren. Falls du hier eine bequeme Lösung möchtest, kann ich dir das kostenlose Plugin „Easy Updates Manager“ sehr empfehlen. Hier kannst du genau einstellen, was alles automatisch aktualisiert werden soll (sobald es eine neue Version gibt) und was du lieber selbst händisch aktualisieren möchtest. Bei einigen Aktualisierungen empfiehlt es sich nämlich trotz der Sicherheit, noch ein wenig abzuwarten – z.B. falls für eine neue WordPress Version noch nicht alle Plugins kompatibel sind und somit noch gar nicht mit der neuen Version funktionieren würden.

Anzahl an installierten Plugins minimieren:

Installiere nur die Plugins, die du auch wirklich benötigst. Deinstalliere Plugins unbedingt, wenn sie dir nicht mehr länger dienen (nur deaktivieren reicht hier übrigens nicht, denn dann bleiben die Dateien trotzdem auf deinem Server). Und achte auch darauf, dass du dir keine WordPress Plugins einfach irgendwo herunterlädst, sondern installiere sie wenn möglich über den Plugins -> Installieren Menüpunkt deines Dashboards. Hier kannst du zudem schauen, wie häufig das Plugin im Einsatz ist und wann es zuletzt aktualisiert wurde:

Plugin Nutzung

Bei uralten, wenig genutzten Plugins ist ggf. Vorsicht geboten, gerade da sie vermutlich nicht mehr den neuesten Sicherheitsstandards entsprechen.

 

Ein Backup einrichten:

Damit du für den Fall der Fälle – falls die Seite doch gehackt wurde oder etwas bei einem Update schief gelaufen ist – abgesichert bist, empfehle ich dir, mind. 1x pro Woche ein automatisches Update machen zu lassen. Hierfür kannst du z.B. Updraft Plus oder BackWPup (ruhig in der kostenlosen Version) nutzen. Du musst einmal einstellen, wie häufig und wohin welche Daten gesichert werden sollen und wie viele Versionen beibehalten werde sollen und schon bis du fertig! Es ist nicht unbedingt notwendig, mehr als eine handvoll Versionen auf dem Server zu speichern, da diese meist auch mehrere hundert MB umfassen und du vermutlich nicht unendlich viel Speicherplatz zur Verfügung hast.

 

Sicherheits Plugins installieren:

Auch wenn du alles andere berücksichtigst, machen die folgenden Sicherheitsplugins Sinn:

  • Ninja Firewall, iThemes Security oder Wordfence Security um generelle Attacken auf deine Website zu verhindern (hier reicht jeweils die kostenlose Version für den normalen Schutz erstmal aus). Wenn ein schädliches Script z.B. mehrmals hintereinander versucht, sich als Administrator auf deiner Seite einzuloggen, wird der Account vorsichtshalber eine zeitlang blockiert. Die IP-Adresse der Nutzer wird durch diese Plugins evtl. mitgeloggt, sodass ein entsprechender Hinweis in deiner Datenschutzerklärung erfolgen sollte.
  • WPS Hide Login oder Loginizer – falls man den Adminbereich nicht über die Standard Adresse /wp-login und /wp-admin erreichbar machen möchte. Hilft gegen automatisierte Hackerattacken.

 

PHP Version aktuell halten:

Bei deinem Hoster kannst du in der Regel einstellen, welche PHP Version für deine Website genutzt werden soll. WordPress selbst zeigt mittlerweile bei veralteten Vesionen einen Warnhinweis im Backend an – spätestens dann ist es höchste Zeit, deine Seite auf die neueste PHP Version umzustellen. Solltest du hierbei Schwierigkeiten haben, kontaktiere am besten deinen Hoster. Bei all-inkl.com kannst du es nach dem Login in die Verwaltung über all-inkl.com/kas beim Menüpunkt Domain einstellen:

PHP Version aktualisieren

Mit diesen wenigen Schritten hast du die Sicherheit deines WordPress schon sehr erhöht. Lass gern einen Kommentar hier, wenn du noch weitere Tipps oder Fragen hast 🙂