Un backup reciente es la diferencia entre recuperar tu WordPress en 30 minutos y perder todo. WordPress recibe 90,000 ataques por minuto y el 97% viene de plugins vulnerables, no del core. La estrategia ganadora: backup completo mensual + incrementales diarios + diferencial semanal. Así si te hackean el martes, restaurás desde el lunes sin perder tráfico.
En 30 segundos
- Un backup reciente achica el impacto de un hackeo de días a minutos — la diferencia entre recuperar y perder todo
- Backup completo: copia todo (archivos + BD). Incremental: solo cambios desde último backup. Diferencial: cambios desde el último completo
- Estrategia híbrida recomendada: completo mensual + incremental diario + diferencial semanal, con histórico de 14-30 días
- Plugins confiables: UpdraftPlus (3M+ sitios), WPvivid (staging incluido), BackWPup (máximo control)
- Almacenamiento remoto obligatorio — Google Drive, Dropbox, AWS S3. Jamás solo en el servidor local
Backups WordPress es el proceso de crear copias de seguridad de los archivos y base de datos de un sitio WordPress, realizado mediante plugins como WPVivid, UpdraftPlus o herramientas del hosting. Permite recuperar rápidamente un sitio ante fallos técnicos, ciberataques o corrupción de datos.
Qué son los backups de seguridad en WordPress
Un backup de WordPress es una copia completa de tu sitio (base de datos, archivos, plugins, temas, imágenes) guardada en un lugar seguro separado del servidor. Si se hackea, te cae un ataque DDoS, o simplemente se corrompen los datos, restaurás desde ese backup y recuperás el sitio con los datos que tenías en el momento en que se hizo la copia.
La realidad es que para WordPress un backup no es un lujo, es infraestructura. Ponele que le pedís a alguien que administre un blog sin backups — es como manejar sin frenos. Los números lo confirman: WordPress recibe 90,000 ataques por minuto, el 97% de vulnerabilidades vienen de plugins y temas desactualizados, no del core. Si no tenés un backup reciente, un hackeo te cuesta días de trabajo y pérdida de datos. Con backup, es cuestión de 30 minutos a 1 hora restaurar.
Por qué los backups son tu mejor defensa contra hackeos en WordPress
Cuando se hackea un WordPress, la mayoría de los casos vienen de tres fuentes: contraseñas débiles (8% de casos), plugins vulnerables sin actualizar, o temas con código malicioso. La restauración típica tarda entre 30 minutos y 1 hora si tenés un backup limpio y reciente.
El problema es que mucha gente hace backup cuando se acuerda, guarda la copia solo en el servidor (si el servidor explota, el backup explota con él), nunca verifica que el backup funciona, o tiene un histórico de 2-3 backups nomás — y cuando necesita restaurar, la fecha más reciente disponible es del mes pasado. Ya lo cubrimos antes en combinar con herramientas de protección activa.
Eso sí, un backup reciente cambia el juego. Si te hackean el martes a las 10am, vos restaurás desde el backup de las 8pm del lunes — perdés un poco de tráfico y comentarios nuevos del martes, pero el sitio vuelve limpio en minutos, no en días.
Tipos de backups: Completo, Incremental y Diferencial
No todos los backups se hacen igual. Hay tres tipos principales y cada uno tiene un tradeoff entre tamaño, velocidad de restauración y complejidad.
Backup Completo
Copia todo: archivos del sitio (wp-admin, wp-includes, wp-content), base de datos, temas, plugins, imágenes, .htaccess. Un backup completo ocupa bastante espacio (un sitio típico son 2-10 GB), tarda más en hacer y restaurar, pero es la opción más segura porque tenés una instantánea total del sitio en un momento específico.
Backup Incremental
Solo copia los cambios desde el último backup (sea completo o incremental anterior). Ocupa mucho menos espacio, es más rápido, pero para restaurar necesitás el último backup completo más todos los incrementales en orden — si falta uno, no se restaura. Ideal para backups diarios donde los cambios suelen ser pequeños.
Backup Diferencial
Copia solo los cambios desde el último backup completo (no desde el anterior como en incremental). Ocupa más que el incremental pero menos que el completo, y para restaurar solo necesitás el backup completo más el diferencial más reciente — ningún riesgo de orden o pérdida de intermedios. Buen punto medio entre velocidad y seguridad. Complementá con mantener tus formularios protegidos.
La estrategia ganadora es híbrida: backup completo 1 vez al mes en horario bajo tráfico (3-4am), backup incremental diario (detecta cambios diarios típicos de posts y comentarios), y backup diferencial 1 vez a la semana. Cada backup tiene retención de 14-30 días mínimo — así si te hackean un martes, podés restaurar desde el lunes sin problemas.
Qué debe incluir un backup completo de WordPress
Para que un backup sea útil, tiene que incluir:
- Base de datos MySQL/MariaDB: posts, páginas, comentarios, usuarios, configuración de plugins, historial de revisiones
- Archivos del sitio: wp-admin, wp-includes, wp-content (el directorios donde viven los plugins y temas)
- Tema activo: todos los archivos del tema (si es custom, más razón aún)
- Plugins activos: para poder restaurar con la misma configuración
- Carpeta uploads: todas las imágenes y archivos media que subiste
- .htaccess y wp-config.php: configuración crítica del servidor
Un error común: guardar el backup solo en el servidor local. Si el servidor se cae, se hackea, o Godaddy/GoDaddy/el hosting de turno explota, el backup explota con él. Almacenamiento remoto es obligatorio: Google Drive, Dropbox, AWS S3, o Azure. Jamás solo en el hosting.
Plugins de backup recomendados: comparativa
Hay un montón de plugins, pero estos tres son los más confiables para WordPress:
| Plugin | Sitios activos | Backup Incremental | Almacenamiento remoto | Precio (premium) | Mejor para |
|---|---|---|---|---|---|
| UpdraftPlus | 3M+ | Sí (premium) | Google Drive, Dropbox, S3, FTP | USD 70/año | Usuarios que quieren lo simple y funciona |
| WPvivid | 600K+ | Sí | Google Drive, Dropbox, S3, Wasabi | USD 45/año | Staging incluido, precio más accesible |
| BackWPup | 200K+ | No | Dropbox, S3, Google Cloud, FTP, SSH | Gratis (donación) | Developers con máximo control |
La verdad es que UpdraftPlus y WPvivid son lo más directo para la mayoría. UpdraftPlus maneja automático para vos — configurás y se olvida. WPvivid es más barato y te deja hacer staging (copia del sitio en local para probar cambios sin romper la web en vivo). BackWPup es para quien le gusta meterse en la configuración y conoce FTP/SSH.
Estrategia híbrida de backups: cuándo hacer cada tipo
Acá viene el plan concreto que deberías implementar:
- Backup completo: primer domingo del mes a las 3:00am (horario bajo tráfico). Ocupa espacio pero es tu base segura.
- Backup incremental: diariamente a las 2:00am. Atrapa posts nuevos, comentarios, cambios de configuración.
- Backup diferencial: todos los viernes a las 2:30am. Te da un punto de recuperación intermedio sin complicar el historial incremental.
- Retención: 30 días histórico mínimo. Borrar backups más viejos automáticamente.
Ejemplo concreto: es martes 10am y tu sitio se hackea. Tenés backups disponibles de: lunes 2am (incremental), domingo 2am (incremental), viernes 2:30am (diferencial), primer domingo del mes anterior 3am (completo). Restaurás desde el lunes — perdés lo que pasó entre el lunes 2am y martes 10am, pero el sitio está limpio en 45 minutos.
Cómo restaurar WordPress desde backup después de un hackeo (paso a paso)
El tiempo típico es 30 minutos a 1 hora. Los pasos:
- Paso 1: en el plugin de backup, elegí el backup previo al hackeo (revisa la fecha/hora exacta en los logs de acceso).
- Paso 2: restaurá los archivos primero (wp-admin, wp-includes, wp-content). Esto sobrescribe cualquier malware o código inyectado.
- Paso 3: restaurá la base de datos. El plugin genera un SQL limpio con los datos del momento del backup.
- Paso 4: cambiar TODAS las contraseñas: admin de WordPress, usuario de BD, FTP, hosting. Los atacantes pueden tener credenciales guardadas.
- Paso 5: verificar en Google Search Console si hay «Problemas de seguridad» reportados. Si hay, marcá «He corregido los problemas» para que Google revise.
- Paso 6: actualizar TODOS los plugins y temas. Un montón de hackeos suceden porque hay versiones vulnerables activas.
- Paso 7: revisar los logs de acceso del servidor (logs/access.log) para ver qué archivos accedieron los atacantes. Si hay patrones raros, investigar.
Ojo: si el sitio sigue siendo hackeado después de restaurar, significa que hay un plugin o tema que todavía tiene la puerta de entrada. En ese caso, restaurá desde un backup más antiguo o desactiva plugins uno por uno hasta que se detenga. Esto se conecta con lo que analizamos en automatizar tus respaldos fácilmente.
Errores comunes en la estrategia de backups que facilitan desastres
Hacer backup solo cuando se recuerda
Si hacés backup cada 6 meses o cuando pasó algo raro, no es backup, es esperanza. Tiene que ser automático. Configurá el plugin para que haga backup 1 vez por día mínimo, o contratá donweb.com que ofrece backups automáticos incluidos.
Guardar backup solo en el servidor
Si el servidor se cae por hardware failure, upgrade fallido, o el datacenter explota, tu backup explota con él. Almacenamiento remoto (Google Drive, Dropbox, AWS S3) es obligatorio. Idealmente dos destinos: uno gratis (Google Drive) y uno pago (S3) para seguridad.
Nunca verificar que el backup funciona
Un backup corrupto no vale nada. Una vez al mes, descargá un backup, descomprimilo en local, y verificá que la base de datos se restaura sin errores. Si el plugin no tiene opción de test, hacé una copia de prueba en un dominio temporal.
No tener histórico suficiente
Si solo guardás 3 backups y el sitio se hackea hace 5 días, todos tus backups están infectados. Mantén 14-30 días de histórico. Sí, ocupa espacio, pero USD 2-5/mes en S3 es nada comparado a perder el sitio. Más sobre esto en asegurar que tus imágenes se respalden.
Usar contraseñas débiles después de restaurar
Restaurás el sitio, pero mantenés la contraseña admin de «admin123». Los atacantes la prueban en el siguiente intento y vuelven a hackear. Después de restaurar: cambiar admin password a algo con 16+ caracteres, símbolos, números. Sin excepciones. Nuestros colegas de donweb.news lo analizan en coordinar la recuperación en equipo.
Preguntas Frecuentes
¿Cuál es la mejor estrategia de backups para proteger mi WordPress?
Backup completo mensual + incremental diario + diferencial semanal, con almacenamiento remoto en Google Drive, Dropbox o S3. Retención de 14-30 días mínimo. La redundancia de tipos da cobertura contra casi todo: si se hackea entre backups, perdés poco; si falla una cadena de backups, tenés alternativas. Lo explicamos a fondo en crear soluciones personalizadas con feature plugins.
¿Cuánto tiempo tarda restaurar un WordPress desde backup después de un hackeo?
Entre 30 minutos y 1 hora si tenés backup reciente, hosting rápido, y tamaño de sitio típico (5-10 GB). El tiempo va en: descargar backup, descomprimir, restaurar BD, cambiar contraseñas, verificar Google Search Console. Si el sitio es muy grande (50+ GB) o el hosting es lento, puede tardar 2-3 horas.
¿Qué plugin de backup debo usar para WordPress?
Para la mayoría: UpdraftPlus (fácil, 3M+ sitios) o WPvivid (más barato, incluye staging). Si sos developer y querés control total: BackWPup. Todos tienen versión gratuita para empezar. Lo importante es que hagas backup automático — el plugin importa menos que la consistencia.
¿Cuántos backups históricos debo mantener en WordPress?
Mínimo 14 días, ideal 30 días. Si tu sitio recibe actualizaciones diarias o cambios frecuentes, 30-45 días es mejor. Así si descubrís un problema una semana después, todavía tenés backup limpio disponible. Automáticamente borrar backups más viejos para ahorrar espacio.
¿Qué diferencia hay entre backup completo, incremental y diferencial?
Completo copia todo (archivos + BD, ocupa mucho espacio). Incremental copia cambios desde el último backup (completo o incremental), ocupa menos pero necesita restaurar en orden. Diferencial copia cambios desde el último completo (ocupa más que incremental pero menos que completo, y se restaura en dos pasos: completo + diferencial último). La combinación de los tres es lo que llama «estrategia híbrida».
Conclusión
Un backup reciente es la diferencia entre un hackeo manejable y una catástrofe. WordPress recibe decenas de miles de ataques diarios, y el 97% vienen de plugins vulnerables — no es si va a pasar, es cuándo. Un plan híbrido (completo + incremental + diferencial) con almacenamiento remoto y retención de 14-30 días te cubre casi todas las situaciones.
Lo importante es hacerlo automático desde hoy. Elegí UpdraftPlus o WPvivid, configurá los horarios, verificá que funciona una vez, y después dormís tranquilo. Si el sitio se hackea el martes, restaurás desde el lunes en 45 minutos. Sin backup, es días perdidos o peor.