Website-Backups 2026: Die Strategie gegen Datenverlust
Sie befinden sich: Home > News Archiv > Webmaster > Website-Backups 2026...
Ein Hack, ein fehlgeschlagenes Update, ein Serverausfall, und die Seite ist weg. Wer dann kein getestetes Backup hat, verliert alles. Welche Strategie 2026 schĂŒtzt, welche Tools taugen und warum Hoster-Backups allein nicht reichen.
Ein einziges fehlgeschlagenes Update, ein gehacktes Plugin oder eine defekte Festplatte, und Jahre an Arbeit sind verschwunden. FĂŒr jede Website ist das keine Frage des Ob, sondern des Wann. Die einzige Versicherung dagegen ist ein Backup, das im Ernstfall auch wirklich funktioniert.
Genau da liegt der Haken. Viele Betreiber haben zwar irgendeine Sicherung, aber kaum jemand hat je geprĂŒft, ob sich daraus die Seite zurĂŒckholen lĂ€sst. Dieser Beitrag zeigt, welche Strategie 2026 schĂŒtzt, welche Werkzeuge taugen und warum der wichtigste Schritt nicht das Sichern ist, sondern das Testen.
Was alles schiefgehen kann
Datenverlust hat selten nur eine Ursache. Am hĂ€ufigsten trifft es Websites nicht durch spektakulĂ€re Hacker, sondern durch verwundbare Erweiterungen. Der Sicherheitsdienst Patchstack zĂ€hlte fĂŒr 2025 ĂŒber 11.000 neue Schwachstellen im WordPress-Umfeld, rund 91 Prozent davon in Plugins. Im Schnitt vergingen nur fĂŒnf Stunden von der Veröffentlichung einer LĂŒcke bis zur ersten massenhaften Ausnutzung.
Dazu kommen weitere Gefahren, die in der Praxis regelmĂ€Ăig Seiten zerstören:
- Hacks und Schadsoftware, die Dateien manipulieren oder die Seite lahmlegen.
- Ransomware, die Daten verschlĂŒsselt. Laut dem Branchenverband Bitkom war 2025 rund ein Drittel der deutschen Unternehmen davon betroffen, 2022 war es erst gut ein Zehntel.
- Fehlgeschlagene Updates und Plugin-Konflikte, die nur noch einen weiĂen Bildschirm zeigen.
- Menschliche Fehler, etwa ein versehentlich gelöschter Ordner oder eine geleerte Datenbank.
- Server- und Hardware-AusfÀlle ohne Vorwarnung.
- Ein Hoster, der insolvent geht oder den Account sperrt.
Wer jetzt denkt, dafĂŒr sei ja der Hoster zustĂ€ndig, sollte genauer hinsehen.
Der Irrtum vom Hoster-Backup
Sich allein auf die Sicherung des Anbieters zu verlassen, ist einer der teuersten TrugschlĂŒsse. In den GeschĂ€ftsbedingungen vieler Hoster steht sinngemĂ€Ă, Backups wĂŒrden nur als GefĂ€lligkeit angeboten und seien nicht garantiert. Im Schadensfall gibt es also keinen Anspruch.
Dazu kommen praktische Probleme. Die Sicherungen liegen oft auf demselben Server oder im selben Rechenzentrum. Bei Brand, Ransomware oder einer Account-Sperrung sind Original und Kopie gleichzeitig weg. Manche Anbieter verlangen fĂŒr das ZurĂŒckspielen sogar extra Geld. Die Aufteilung ist klar: Der Hoster sichert seine Technik, fĂŒr die Inhalte sind Sie selbst verantwortlich.
Ein Hoster-Backup ist ein nettes Sicherheitsnetz, aber niemals die ganze Absicherung. Die braucht eine eigene Methode, und die hat einen Namen.
Die 3-2-1-Regel, und was 2026 dazukommt
Der weltweite Standard fĂŒr Backups ist seit Jahren die 3-2-1-Regel. Sie ist leicht zu merken und lĂ€sst sich auf jede Website anwenden. Auch das Bundesamt fĂŒr Sicherheit in der Informationstechnik empfiehlt sie.
| Ziffer | Bedeutung | Beispiel fĂŒr eine Website |
|---|---|---|
| 3 | Drei Kopien der Daten | Live-Seite plus zwei Sicherungen |
| 2 | Auf zwei verschiedenen Speicherorten | Server-Speicher und Cloud |
| 1 | Mindestens eine Kopie auĂer Haus | Externer Cloud-Speicher, getrennt vom Server |
Wegen Ransomware reicht das vielen nicht mehr. Die erweiterte Variante 3-2-1-1-0 ergĂ€nzt zwei Punkte: eine Kopie, die offline oder unverĂ€nderlich ist, und null Fehler beim Wiederherstellungstest. UnverĂ€nderlich heiĂt, dass die Sicherung fĂŒr eine festgelegte Frist weder geĂ€ndert noch gelöscht werden kann, selbst nicht mit gestohlenen Zugangsdaten. Das ist der wirksamste Schutz gegen Erpressersoftware, die gezielt auch Backups angreift.
Wie viele Kopien Sie auch anlegen, sie nĂŒtzen nur, wenn das Richtige darin steckt.
Was ins Backup gehört
Eine Website besteht aus zwei untrennbaren HĂ€lften, und beide mĂŒssen zusammen gesichert werden. Fehlt eine, ist die Wiederherstellung wertlos.
- Die Dateien: das System selbst, dazu Themes, Plugins und der Ordner mit allen hochgeladenen Bildern und Medien.
- Die Datenbank: BeitrÀge, Seiten, Nutzer, Einstellungen und bei Shops die Bestellungen und Kundendaten. Ohne sie ist die Seite leer.
- Oft vergessen: E-Mail-PostfÀcher auf dem Server und, bei eigenem Server, die Konfigurationsdateien.
Wichtig ist, dass Dateien und Datenbank zum selben Zeitpunkt gesichert werden. Stammt das Datei-Backup von gestern und die Datenbank von heute, passt beim ZurĂŒckspielen nichts mehr zusammen. Bei einem Shop fĂŒhrt das schnell ins Chaos.
Wie diese Sicherung technisch ablÀuft, hÀngt von der gewÀhlten Art ab.
Voll, inkrementell oder differenziell
Bei der Sicherungsart geht es um eine AbwĂ€gung zwischen Speicherplatz, Geschwindigkeit und Aufwand beim ZurĂŒckspielen.
| Art | Was gesichert wird | Speicherbedarf | Wiederherstellung |
|---|---|---|---|
| Vollbackup | Jedes Mal alle Daten | Hoch | Am schnellsten, nur ein Satz nötig |
| Inkrementell | Nur Ănderungen seit der letzten Sicherung | Am geringsten | Langsamer, die ganze Kette wird gebraucht |
| Differenziell | Alle Ănderungen seit dem letzten Vollbackup | Mittel | Schnell, Vollbackup plus letzte Sicherung |
FĂŒr die meisten Seiten bewĂ€hrt sich eine Mischung: ein wöchentliches Vollbackup als Basis, dazu tĂ€glich inkrementelle Sicherungen. Vor riskanten Aktionen wie einem groĂen Update gehört zusĂ€tzlich eine Sicherung auf Abruf dazu. Wie oft Sie insgesamt sichern sollten, beantworten zwei Kennzahlen.
Wie oft sichern? RPO und RTO
Hinter den beiden KĂŒrzeln stecken zwei einfache Fragen. Der RPO, das Recovery Point Objective, fragt: Wie viele Daten dĂŒrfen wir maximal verlieren? Ein RPO von einer Stunde bedeutet stĂŒndliche Backups. Der RTO, das Recovery Time Objective, fragt: Wie lange darf die Seite höchstens ausfallen? Daraus ergibt sich die passende SicherungshĂ€ufigkeit.
| Art der Seite | Sinnvoller RPO | Empfehlung |
|---|---|---|
| Statische Visitenkarten-Seite | Eine Woche | Wöchentliches Backup |
| Blog mit tÀglichen BeitrÀgen | 24 Stunden | TÀgliches Backup |
| Aktiver Online-Shop | 5 bis 15 Minuten | Echtzeit- oder stĂŒndliche Sicherung |
Zwei Dinge gehören noch dazu. Erstens die Aufbewahrung: Heben Sie mehrere Generationen auf, etwa eine Reihe tĂ€glicher, wöchentlicher und monatlicher StĂ€nde. Mindestens 30 Tage sind sinnvoll, denn Schadsoftware bleibt manchmal wochenlang unbemerkt im System. Zweitens der Datenschutz: Backups mit Kundendaten mĂŒssen verschlĂŒsselt werden, und der Speicherort sollte in der EU liegen. Das verlangt die Datenschutz-Grundverordnung, auch wenn die Details zur Löschung in Backups juristisch umstritten sind und dieser Text keine Rechtsberatung ersetzt.
Mit dieser Grundlage lÀsst sich das passende Werkzeug auswÀhlen.
Die richtigen Werkzeuge
Auf WordPress ĂŒbernimmt ein Plugin die Arbeit. Welches passt, hĂ€ngt davon ab, ob Sie einen einfachen Blog oder einen Shop mit stĂ€ndigen Bestellungen betreiben.
| Tool | Am besten fĂŒr | StĂ€rke | Haken |
|---|---|---|---|
| UpdraftPlus | die meisten Seiten | Ăber drei Millionen Installationen, einfacher Restore, viele Cloud-Ziele | Echtzeit nur als Bezahlversion |
| BlogVault | Shops und Agenturen | Sicherung lÀuft extern, inkrementell, mit Teststellung | Nur kostenpflichtig |
| Jetpack VaultPress | dynamische Seiten und Shops | Echtzeit-Backup, sehr einfach | Preis steigt bei VerlÀngerung |
| Duplicator | UmzĂŒge und Migration | Bester fĂŒr den Serverwechsel | Backup-Fokus erst in der Pro-Version |
| WPvivid | knappes Budget | Sehr groĂzĂŒgige Gratis-Version | Weniger verbreitet |
| BackWPup | Entwickler und Multisite | Gratis-Option auch fĂŒr Netzwerke | ZurĂŒckspielen weniger komfortabel |
Als Speicherziel eignet sich ein externer Objektspeicher. GĂŒnstig und zuverlĂ€ssig sind Backblaze B2 oder Wasabi, beide mit Rechenzentren in Europa und mit der Möglichkeit, Sicherungen unverĂ€nderlich abzulegen. Amazon S3 ist mĂ€chtiger, aber teurer. Ein verbreiteter Fehler: Google Drive und Dropbox sind Synchronisierungsdienste, kein Backup. Löscht oder verschlĂŒsselt Schadsoftware die lokalen Dateien, wandert das einfach mit in die Cloud.
Doch das beste Werkzeug nĂŒtzt nichts, wenn ein Schritt ĂŒbersprungen wird, den fast niemand macht.
Der Test, den fast niemand macht
Es gibt einen treffenden Spruch unter Administratoren: Der Zustand eines Backups ist unbekannt, bis man versucht, es zurĂŒckzuspielen. Ein grĂŒner Haken im Dashboard sagt nur, dass die Sicherung erstellt wurde, nicht, dass sie sich wiederherstellen lĂ€sst. Erst der Test bringt Gewissheit, und genau den ĂŒberspringen die meisten.
So gehen Sie vor: Spielen Sie die Sicherung auf einer Teststellung oder lokal ein, niemals zum Probieren auf der Live-Seite. PrĂŒfen Sie, ob Datenbank, Bilder und Einstellungen vollstĂ€ndig sind, klicken Sie sich durch die Seite, und stoppen Sie die Zeit. So sehen Sie auch, ob Ihr Ziel fĂŒr die Ausfallzeit realistisch ist. Das Bundesamt fĂŒr Sicherheit in der Informationstechnik rĂ€t, das regelmĂ€Ăig zu tun, mindestens einmal pro Quartal.
Dass ein Restore scheitert, liegt fast immer an denselben GrĂŒnden:
- Die Sicherung war unvollstÀndig, meist fehlt die Datenbank.
- Nach dem ZurĂŒckspielen stimmen die Dateirechte nicht.
- Auf dem Zielserver ist zu wenig Speicher frei.
- Die PHP- oder Datenbankversion passt nicht mehr zusammen.
- Eine inkrementelle Kette ist unterbrochen und damit unbrauchbar.
Bleibt die Frage, wie man das alles in eine feste Routine bringt.
So setzen Sie es auf
FĂŒr eine normale WordPress-Seite genĂŒgt ein ĂŒberschaubarer Plan:
- Ein Backup-Plugin installieren, etwa UpdraftPlus.
- TĂ€gliche Sicherung von Dateien und Datenbank einrichten.
- Als Ziel einen externen Cloud-Speicher wÀhlen, nicht denselben Server.
- Vor jedem Update zusÀtzlich eine Sicherung auf Abruf anlegen.
- VerschlĂŒsselung und eine Benachrichtigung bei FehlschlĂ€gen aktivieren.
- Einmal im Quartal einen Restore auf einer Teststellung ĂŒben.
Ein Online-Shop braucht mehr, weil jede verlorene Stunde echte Bestellungen kostet. Hier gehören Echtzeit-Backups mit einem Tool wie BlogVault oder Jetpack dazu, eine unverĂ€nderliche Kopie als Schutz vor Ransomware, eine lĂ€ngere Aufbewahrung von mehreren Monaten und ein monatlicher Test, vor groĂen Aktionen zusĂ€tzlich.
Zum schnellen Abhaken die wichtigsten Punkte:
- Drei Kopien, zwei Speicherorte, eine auĂer Haus.
- Dateien und Datenbank werden gemeinsam gesichert.
- Mindestens eine Kopie ist offline oder unverÀnderlich.
- Die Backups sind verschlĂŒsselt und laufen automatisch.
- Eine Benachrichtigung meldet jeden Fehlschlag.
- Der Restore wurde getestet und dokumentiert.
Die Fehler, die am meisten Daten kosten, sind dabei immer dieselben: die Sicherung auf demselben Server, eine vergessene Datenbank, keine Kopie auĂer Haus und ein Backup, das nie ausprobiert wurde. Wer diese vier vermeidet, hat schon das Wichtigste geschafft.
Wie sichern Sie Ihre Seite?
Haben Sie fĂŒr Ihre Website ein automatisches, externes Backup, und wann haben Sie zuletzt einen Restore getestet? Schreiben Sie in die Kommentare, welches Tool Sie nutzen und ob Sie schon einmal eine Seite aus einer Sicherung zurĂŒckholen mussten. Wenn Sie an einer Stelle unsicher sind, fragen Sie ruhig konkret nach, oft hilft die Antwort gleich mehreren Lesern weiter.
backups hoster backup taugen fehlgeschlagenes serverausfall
Webung: Hier bekommen Sie PHP fĂ€higen Webspace der mit Ăkostrom betrieben wird ab bereits 2 Euro/ Monat fĂŒr ihre Homepage. ZusĂ€tzlich ist eine eigene Internetadresse mit enthalten.
Neusten News in der Kategorie "Webmaster"
| • Cookie-Banner 2026: Was jetzt wirklich Pflicht ist Cookie-Banner verschwinden 2026 doch nicht. Welche Regeln gelten, welc... |
| • Core Web Vitals 2026: Was beim Ranking wirklich zĂ€hlt Mehr als vier von zehn Websites fallen bei Googles Core Web Vitals dur... |
| • NIS2 in Deutschland: Wer betroffen ist und was gilt Seit Dezember 2025 gilt in Deutschland das NIS2-Gesetz, und zwar ohne ... |
| • Passkeys statt Passwörter: Ratgeber fĂŒr Webmaster Passwörter gelten als das schwĂ€chste Glied der Sicherheit. Passkeys so... |
| • CVE-2026-54420: LiteSpeed-cPanel-LĂŒcke wird ausgenutzt Eine kritische LĂŒcke im LiteSpeed-Plugin fĂŒr cPanel wird bereits aktiv... |
| • Neuer KI-Bericht in der Google Search Console erklĂ€rt Seit Juni 2026 zeigt die Google Search Console endlich, wie oft Ihre S... |
| • llms.txt: Hype oder Pflicht fĂŒr SEO und Webmaster? Kaum eine Datei wurde 2025 so gehypt wie llms.txt. Doch eine Analyse v... |
| • FAQ Rich Snippets sind weg: Schema jetzt entfernen? Jahrelang war FAQ-Schema ein einfacher Trick fĂŒr mehr Platz in der Goo... |
| • Gmail lehnt Mails ab: SPF, DKIM und DMARC einrichten Seit Ende 2025 prallen Mails ohne saubere Authentifizierung an Gmail u... |
| • HTTP/2 Bomb: Webserver-LĂŒcke trifft Apache und nginx Ein einzelner Heim-PC mit normaler Leitung genĂŒgt, um einen Webserver ... |
Kommentar schreiben
Teilen Sie uns Ihre Meinung mit. Ihr Kommentar wird nach Pruefung veroeffentlicht.