Backup do WordPress: como restaurar seu site após um ataque (guia completo 2026)

Backup do WordPress: como restaurar seu site após um ataque (guia completo 2026)

Quem nunca passou por um ataque acredita que “backup é só rodar e voltar tudo”. Quem já passou sabe que restaurar mal é uma das principais causas de reinfecção. O backup pode estar contaminado, pode trazer de volta o backdoor que foi usado para invadir, pode sobrescrever dados novos legítimos, ou pode quebrar funcionalidades por incompatibilidade de versão.

Este guia mostra como montar uma estratégia de backup que funciona de verdade e, mais importante, como executar uma restauração segura depois de um incidente — sem reintroduzir o problema que causou o ataque.

A regra 3-2-1 (e por que ela existe)

A regra clássica de backup, usada em ambientes corporativos há décadas, é:

  • 3 cópias dos seus dados (1 original + 2 backups)
  • 2 mídias diferentes (não confiar só em disco local)
  • 1 cópia off-site (fora do servidor do site)

Por que isso importa? Porque quase 100% dos donos de site que perdem dados perdem porque o backup estava na mesma máquina que foi invadida, no mesmo servidor que pegou fogo, ou na mesma conta de hospedagem que foi suspensa. Backup que mora no mesmo lugar que o original não é backup — é uma cópia exposta.

Tipos de backup e quando usar cada um

Backup completo

Tira foto de tudo: arquivos do WordPress + banco de dados + uploads + configurações. É o mais demorado e o mais pesado, mas é o único que permite restauração total.

Frequência recomendada: semanal para sites com poucas alterações; diário para e-commerce, área de cliente ou blogs com posts frequentes.

Backup incremental

Salva só o que mudou desde o último backup. Roda rápido e ocupa pouco espaço, mas a restauração exige todos os incrementais até a data desejada — se um deles falha, a corrente quebra.

Frequência recomendada: diário, complementando um completo semanal.

Backup só do banco

Apenas o dump do MySQL. Útil para sites cujo conteúdo muda mas os arquivos são estáticos (blog editorial, por exemplo).

Frequência recomendada: diário ou até a cada hora em sites com muito movimento.

Os melhores plugins de backup WordPress em 2026

UpdraftPlus (recomendado para a maioria dos casos)

Versão gratuita já cobre 90% dos casos. Permite envio off-site para Google Drive, Dropbox, S3, OneDrive, FTP. Agendamento granular, retenção configurável, restauração com 1 clique. Versão Premium adiciona backup incremental e migração entre sites.

Quando usar: sites pequenos e médios, blogs, sites institucionais.

BackWPup

Alternativa robusta e antiga. Bem documentada, foco em sysadmins. Suporte a SugarSync, Rackspace, S3.

Quando usar: quem quer mais controle sobre o que é incluído/excluído em cada job.

BlogVault

SaaS pago — backup off-site no servidor da BlogVault, com staging environment para testar restauração antes de aplicar em produção.

Quando usar: e-commerce, sites grandes, agências que gerenciam muitos clientes.

Jetpack VaultPress Backup

Pago, da Automattic (criadores do WordPress). Backup em tempo real (após cada alteração), restauração com 1 clique, restauração para qualquer ponto no tempo.

Quando usar: se já usa Jetpack e quer integração nativa.

Solução manual + cron job

Script Bash que faz mysqldump e tar dos arquivos, e envia via rclone para Drive/S3. Mais flexível, mais barato, mas exige conhecimento técnico.

Quando usar: desenvolvedor com acesso SSH e disposição para manter scripts.

Estratégia recomendada por tipo de site

Tipo de site Frequência Retenção Ferramenta sugerida
Blog pessoal Semanal 4 semanas UpdraftPlus Free + Drive
Site institucional pequeno Diário 14 dias UpdraftPlus Free + Drive
E-commerce médio A cada 6h 30 dias UpdraftPlus Premium + S3
E-commerce grande Tempo real 60 dias Jetpack VaultPress / BlogVault
SaaS / aplicação custom Tempo real + diário 90 dias Script próprio + S3 versionado

Erros mais comuns que tornam o backup inútil

  1. Backup no mesmo servidor. Servidor cai, backup cai junto.
  2. Não testar restauração. Backup que você nunca testou pode estar corrompido sem você saber.
  3. Salvar credenciais no wp-config.php dentro do backup sem criptografia. Se o backup vaza, suas credenciais vazam.
  4. Backup só do banco esquecendo /uploads/. Você restaura os posts mas perde todas as imagens.
  5. Retenção curta demais. Quando o invasor entra hoje e o ataque é detectado em 30 dias, você precisa de um backup de 31 dias atrás. Retenção de 7 dias não cobre isso.
  6. Backup automático que falhou silenciosamente. Configure alerta por email para qualquer falha de backup.
  7. Backup armazenado em conta de email comprometida. Use 2FA em todas as contas que recebem backups.

Restauração segura depois de um ataque

Esta é a parte que ninguém te conta. Restaurar logo após detecção é tentador, mas perigoso.

Passo 1: Identifique quando começou a infecção

Antes de escolher qual backup restaurar, descubra quando o site foi invadido. Plugin de scan dá a data de modificação dos primeiros arquivos infectados. Logs do servidor (access.log, error.log) mostram requisições suspeitas das primeiras horas. Search Console pode mostrar a data exata do primeiro flag de malware.

Sem essa data, você arrisca restaurar um backup já infectado.

Passo 2: Escolha o backup mais recente ANTERIOR à invasão

Se a invasão começou em 10/03, restaure o backup de 09/03 — não o de 11/03 (já infectado) nem o de 09/02 (vai perder 1 mês de conteúdo desnecessariamente).

Passo 3: Restauração em ambiente de staging (recomendado)

Restaure primeiro num subdomínio ou em ambiente local. Verifique se está limpo. Só então restaure em produção.

Sem staging? Faça em horário de baixo tráfego, com modo manutenção ativo.

Passo 4: Após restaurar, atualize TUDO

Backup antigo traz versões antigas de WordPress, plugins e tema — possivelmente com a mesma vulnerabilidade que foi explorada. Antes de tirar o modo manutenção:

  1. Atualize WordPress para a versão mais recente
  2. Atualize todos os plugins
  3. Atualize tema
  4. Troque todas as senhas e salts
  5. Faça scan completo (Wordfence)

Passo 5: Reaplique conteúdo perdido manualmente

Posts criados entre a data do backup e o momento atual: copie do site infectado (que você salvou como evidência), revise palavra por palavra para garantir que não tem código injetado, e cole no site limpo.

Passo 6: Reaplique hardening

Backup pode trazer de volta um wp-config.php sem DISALLOW_FILE_EDIT, um .htaccess sem headers de segurança, etc. Revise.

Passo 7: Não delete o backup infectado por enquanto

Guarde por 30 dias como evidência e para consultas se algum problema reaparecer.

Quando NÃO restaurar — limpar é melhor

Se você descobre que o site está infectado há meses, restaurar um backup tão antigo significa perder todo conteúdo desse período. Nesse caso, fazer limpeza cirúrgica (descrita no nosso post sobre como remover vírus e malware do WordPress) preserva o conteúdo legítimo e remove só o malicioso.

Regra prática:

  • Invasão recente (até 7 dias) + backup limpo disponível → restaurar
  • Invasão antiga (mais de 30 dias) ou backup limpo indisponível → limpar
  • Invasão de origem desconhecida e múltiplas reinfecções → chamar especialista (provavelmente backdoor escondido no banco ou em arquivos não óbvios)

Como o Site Seguro entrega backup gerenciado

Todos os planos do Site Seguro incluem backup gerenciado off-site com monitoramento de falha — você não precisa lembrar de rodar backup ou verificar se subiu. Em caso de incidente, restauramos o site para o ponto desejado dentro do janela de retenção (que varia por plano).

Fale com a equipe pelo WhatsApp para entender o plano ideal para seu site.

Perguntas frequentes

Backup do cPanel substitui plugin de backup?

Não inteiramente. Backup do cPanel é completo, mas roda em horários definidos pela hospedagem e geralmente fica no mesmo servidor. Use os dois: cPanel para emergência e UpdraftPlus para off-site agendado.

Backup ocupa muito espaço, posso só ter 1 cópia?

Pode, mas é arriscado. Se a única cópia corromper, você fica sem nada. O mínimo recomendado é manter 4 cópias (últimas 4 semanas) com retenção rotativa.

Posso restaurar backup em hospedagem diferente?

Sim, a maioria dos plugins (UpdraftPlus, All-in-One WP Migration) permite migração entre servidores. Cuidado com URLs absolutas no banco — use WP-CLI search-replace ou plugin Better Search Replace para ajustar.

O Site Seguro guarda meus backups com segurança?

Sim, armazenados em servidores criptografados, com 2FA na conta de armazenamento, retenção configurada por plano e acesso restrito ao time técnico.

Se eu cancelar o plano, perco os backups?

Você pode solicitar download dos backups antes do cancelamento — entregamos em formato padrão (.zip + .sql) para você guardar onde preferir.

Conclusão

Backup é o seguro do seu site. Como todo seguro, só vale se for testado e estiver fora do ambiente que ele protege. Configure hoje (UpdraftPlus + Drive em 20 minutos), teste mensalmente, e revise a estratégia a cada mudança grande no site.

E quando precisar restaurar após ataque, lembre: a pressa é inimiga. Identifique a data da invasão, escolha o backup correto, restaure em staging, atualize tudo e reaplique hardening antes de subir para produção.

Site Seguro cuida do backup pra você — fale com a gente.

Leia também:

  • Como remover vírus e malware do WordPress sem perder o site
  • Site bloqueado pelo Google: guia passo a passo
  • Hardening WordPress: 15 ações essenciais
Tags de postagem :
Post anterior

Próxima postagem

Fale conosco