# Backup de arquivos WordPress: 5 passos para proteger o site

<strong>Backup de arquivos WordPress</strong> copia o `wp-content`, temas, plugins e uploads para um destino fora do servidor. Segundo o <a href="https://radar.cloudflare.com/security/application-layer">Cloudflare Radar</a> (2026), 82,4% dos ataques de aplicação no Brasil são DDoS, o que reforça ter cópia externa. O ganho real está no destino remoto, não no plugin. Configure, agende e teste a restauração antes de confiar.

Backup de arquivos WordPress é a cópia de todos os arquivos do site, separada do dump do banco de dados: temas, plugins e a pasta `wp-content/uploads` com suas imagens. Muita gente acha que exportar o banco resolve, mas um banco íntegro sem os arquivos deixa o site sem layout e sem mídia. A dor que chega no suporte da FULL quase sempre é a mesma: o backup parecia existir, mas a cópia morava na mesma pasta do site invadido. Este tutorial mostra como montar um backup de arquivos WordPress confiável, com destino externo, agendamento real e teste de restauração. Para o contexto completo de proteção, os <a href="https://full.services/seguranca-wordpress/">guias de segurança WordPress da FULL</a> complementam cada etapa daqui.

---

## O que entra no backup de arquivos WordPress

O backup de arquivos WordPress cobre 4 conjuntos que o dump do banco nunca inclui: o core do WordPress, a pasta de temas, a pasta de plugins e o `wp-content/uploads`. Desses, só o `uploads` cresce sem parar, porque guarda toda imagem, PDF e mídia enviada ao site, e costuma ser o maior peso da cópia inteira.

A tabela abaixo separa cada conjunto pelo que guarda e por que importa na restauração. O core é recuperável do WordPress.org, mas o `uploads` e o tema customizado não existem em nenhum outro lugar, então são a parte realmente insubstituível do backup de arquivos WordPress.

<table id="conteudo-backup-de-arquivos-wordpress">
  <caption>Backup de arquivos WordPress: o que cada pasta guarda</caption>
  <thead>
    <tr>
      <th scope="col">Conjunto</th>
      <th scope="col">O que guarda</th>
      <th scope="col">Peso na cópia</th>
    </tr>
  </thead>
  <tbody>
    <tr>
      <th scope="row">Core do WordPress</th>
      <td>Arquivos `wp-admin` e `wp-includes`</td>
      <td>Baixo, recuperável do WordPress.org</td>
    </tr>
    <tr>
      <th scope="row">Temas (`wp-content/themes`)</th>
      <td>Tema ativo e child theme customizado</td>
      <td>Médio, único se houver customização</td>
    </tr>
    <tr>
      <th scope="row">Plugins (`wp-content/plugins`)</th>
      <td>Plugins ativos e suas configurações em arquivo</td>
      <td>Médio a alto conforme o stack</td>
    </tr>
    <tr>
      <th scope="row">Uploads (`wp-content/uploads`)</th>
      <td>Imagens, PDFs e mídia da biblioteca</td>
      <td>Alto, cresce todo dia, insubstituível</td>
    </tr>
  </tbody>
</table>

A regra prática: o `wp-config.php` e o `.htaccess` na raiz também entram, porque carregam chaves e regras de reescrita. Um <a href="https://full.services/glossario/backup-wordpress/">backup do WordPress</a> que ignora esses dois volta sem conexão ao banco.

---

## Por que separar arquivos do banco de dados

Separar o backup de arquivos WordPress do dump do banco muda a velocidade de restauração e o tamanho da cópia. O banco de um site institucional pesa poucos megabytes e muda toda vez que sai um post; os arquivos pesam gigabytes e mudam quando você atualiza um plugin ou sobe uma imagem. Tratar os dois com a mesma frequência desperdiça armazenamento.

Na prática, o banco pede backup diário e os arquivos aceitam cópia incremental: só o que mudou desde a última vez. Backup de arquivos WordPress completo e diário de um site com 8 GB de `uploads` em servidor compartilhado gera pico de I/O e estoura a cota de disco em semanas. A cópia incremental resolve isso copiando apenas o delta. Para entender a divisão de responsabilidades, veja <a href="https://full.services/backup-banco-de-dados-wordpress/">backup do banco de dados WordPress</a> e como ele se encaixa na rotina de arquivos.

---

## Passo a passo: Como fazer backup de arquivos WordPress

Configurar um backup de arquivos WordPress confiável leva 5 passos, do plugin ao teste de restauração, e cada passo termina com um check de validação. O caminho abaixo usa UpdraftPlus como motor de cópia, a combinação que a gente mais vê dar certo na base FULL para separar arquivos de banco com destino externo.

Backup sem validação é só esperança, então não pule os checks. Para o roteiro de volta, veja <a href="https://full.services/como-restaurar-o-wordpress-a-partir-do-backup/">como restaurar o WordPress a partir do backup</a> antes de confiar na rotina.

### Passo 1: Instale o motor de backup de arquivos

Instale um plugin que copie arquivos e banco de forma separada. Segundo a documentação oficial do <a href="https://teamupdraft.com/documentation/updraftplus/">UpdraftPlus</a>, o backup permite escolher entre banco, plugins, temas, uploads e "others" em caixas distintas, o que deixa você copiar só os arquivos quando o banco já tem rotina própria. Instale o plugin pelo painel e abra Configurações para ver as caixas. Check de validação: a aba de backup deve listar as quatro categorias de arquivo separadas do banco.

### Passo 2: Defina o destino externo da cópia

Aponte os arquivos para um armazenamento fora do servidor de produção. Configure no UpdraftPlus um destino remoto: Amazon S3, Backblaze B2 ou Google Drive funcionam e isolam a cópia do site. Backblaze B2 costuma sair mais barato por GB para sites com `uploads` pesado, enquanto o S3 entrega mais regiões. Check de validação: dispare um backup manual só de arquivos e confirme que o `.zip` aparece no destino externo, nunca apenas no disco local do servidor.

### Passo 3: Agende a cópia incremental dos arquivos

Programe os arquivos em frequência menor que a do banco, com incremental entre as cópias completas. Um backup de arquivos WordPress completo semanal mais incrementais diários cobre a maioria dos sites sem estourar a cota de armazenamento. Defina horário de madrugada e fora do <a href="https://full.services/glossario/cron-wordpress/">cron do WordPress</a>, que depende de visita à página para disparar. Check de validação: confira no log que a cópia rodou no horário agendado e que o segundo dia marca incremental, não completa.

### Passo 4: Configure retenção e alerta de falha

Limite quantas versões dos arquivos o site guarda e ligue o alerta de falha. Defina retenção de 7 a 14 cópias no UpdraftPlus para não estourar o armazenamento externo, e configure o e-mail de aviso quando um job falhar. O alerta é o que transforma backup de arquivos WordPress em algo confiável, porque a falha silenciosa é a regra: um job que para não avisa. Check de validação: remova a credencial do destino de propósito e confirme que o alerta de falha chega na sua caixa.

### Passo 5: Teste a restauração dos arquivos

Restaure os arquivos em um ambiente isolado antes de declarar a rotina pronta. Pegue um <a href="https://full.services/glossario/ambiente-staging/">ambiente de staging</a> e restaure a cópia mais recente de temas, plugins e `uploads`, conferindo se as imagens da biblioteca de mídia carregam. Restauração não testada não conta como backup de arquivos WordPress. Check de validação: o site restaurado abre, exibe o tema correto e as imagens aparecem nas páginas, sem quadrado quebrado.

---

## Segurança: O backup que falha quando o plugin tem CVE

Backup de arquivos WordPress depende de um plugin, e plugin é código que pode ter vulnerabilidade. O que separa risco real de pânico é a diferença entre falha sem patch hoje e CVE histórica já corrigida. A FULL é a única empresa brasileira credenciada como CVE Numbering Authority (CNA) sob a CISA desde maio de 2022, então quem escreve aqui sobre o tema cataloga CVE oficial.

Os três motores de backup mais usados já tiveram falhas corrigidas, e isso é sinal de manutenção ativa, não de plugin ruim. O UpdraftPlus teve a <a href="https://nvd.nist.gov/vuln/detail/CVE-2024-10957">CVE-2024-10957</a>, CVSS 8.8, uma falha de PHP Object Injection corrigida na versão 1.24.12. O BackWPup registrou a <a href="https://nvd.nist.gov/vuln/detail/CVE-2023-5504">CVE-2023-5504</a>, CVSS 8.7, um Stored XSS via parâmetro, corrigido na 4.0.2. Já o All in One Security teve no passado a <a href="https://nvd.nist.gov/vuln/detail/CVE-2016-10887">CVE-2016-10887</a>, CVSS 9.8 crítica, resolvida na 4.0.9.

Nenhuma dessas três é risco atual: todas têm patch publicado. O risco vira real quando o site roda versão antiga do plugin. Para ver o que está exposto agora, escaneie o site no <a href="https://security.full.services">FULL Scan</a>, que cruza os plugins instalados com a base global de CVEs.

---

## Backup de arquivos WordPress na FULL: 16 plugins por r$85 o site

No plano PRO da FULL, por R$849, você ativa 16 plugins premium em até 10 sites, o que dá R$85 por site para incluir UpdraftPlus, All in One Security e WP Rocket no mesmo bundle. O motor de backup já entra sem licença avulsa por instalação.

Para quem administra mais de um site, isso significa o motor de backup, a camada de segurança e a de performance ativados em um clique, sem comprar licença separada de cada plugin. Veja os detalhes em <a href="https://full.services/planos">FULL.services/planos</a>. A gente vê no suporte que o custo de licença avulsa por site é o que trava agências de padronizarem o backup de arquivos WordPress em toda a carteira: cada plugin premium comprado à parte vira mais uma renovação anual para controlar. Com o bundle, o UpdraftPlus já chega ativado e atualizado junto do resto do stack, o que mantém o motor de cópia sempre na versão com patch e fecha a porta das CVEs antigas.

---

<aside aria-label="Metodologia dos Testes">
<h2 id="metodologia-dos-testes">Metodologia dos testes</h2>
<p>As observações deste tutorial vêm da rotina de suporte da FULL com sites WordPress conectados ao painel, entre <time datetime="2026-01">janeiro</time> e <time datetime="2026-06">junho de 2026</time>, em ambientes WordPress 6.x com PHP 8.2 e 8.3. Os fluxos de backup de arquivos foram testados com UpdraftPlus, BackWPup e o WP-CLI, com destinos em Amazon S3, Backblaze B2 e Google Drive, em sites de `uploads` entre 500 MB e 12 GB. Os CVEs citados vêm do perfil público do WPVulnerability e foram conferidos no NVD. Nenhuma proporção de incidentes foi medida em dataset fechado: as afirmações de frequência são qualitativas, baseadas no padrão recorrente dos tickets.</p>
</aside>

---

<aside aria-label="Resumo Técnico">
<h2 id="resumo-tecnico">Resumo técnico do backup de arquivos</h2>
<p>Os pontos abaixo condensam as decisões que separam uma rotina de backup de arquivos confiável de uma falsa segurança em um site WordPress de produção, do destino externo ao teste mensal de restauração. Use como checklist rápido antes de declarar que o site está protegido.</p>
<ul style="margin-bottom:1.5rem">
  <li><strong>Melhor cenário:</strong> arquivos com cópia incremental em destino externo na nuvem e plugin de backup sempre na última versão.</li>
  <li><strong>Pior cenário:</strong> cópia única na mesma pasta do site de produção, sem teste de restauração e com plugin desatualizado.</li>
  <li><strong>Principal conflito:</strong> backup completo diário de `uploads` pesado em servidor compartilhado gera pico de I/O e estoura a cota de disco.</li>
  <li><strong>Melhor alternativa gratuita:</strong> WP-CLI com `wp media` mais `tar` e rsync incremental, quando há acesso SSH ao servidor.</li>
  <li><strong>Em uma frase:</strong> backup de arquivos só vale quando a restauração já foi testada em staging pelo menos uma vez por mês.</li>
</ul>
</aside>

<h2 id="faq">Perguntas frequentes sobre backup de arquivos WordPress</h2>

<details>
<summary>Por que um backup de arquivos falha mesmo aparecendo como concluído?</summary>
<p>Porque "concluído" no painel só confirma que o `.zip` foi gerado, não que ele restaura. Um pacote de `uploads` interrompido por estouro de memória do PHP, ou um destino externo com credencial expirada, produz um arquivo presente mas corrompido. A única prova de que o backup de arquivos WordPress funciona é restaurar a cópia em um ambiente de staging e conferir se as imagens da biblioteca de mídia carregam de verdade nas páginas.</p>
</details>

<details>
<summary>É possível fazer backup de arquivos WordPress sem instalar nenhum plugin?</summary>
<p>É possível sim, pelo WP-CLI quando você tem acesso SSH ao servidor. Um comando `wp media` lista os anexos e o `tar` compacta a pasta `wp-content` inteira em um único pacote, que o `rsync` envia para o destino externo. Sem acesso SSH, o caminho prático é um plugin como o UpdraftPlus ou o BackWPup, que faz o mesmo trabalho pela interface do WordPress, sem linha de comando.</p>
</details>

<details>
<summary>Qual a diferença entre backup de arquivos e backup do banco de dados?</summary>
<p>O backup de arquivos WordPress copia temas, plugins e a pasta `uploads`, enquanto o backup do banco copia posts, configurações e usuários em um dump SQL. Os arquivos pesam gigabytes e mudam pouco; o banco pesa megabytes e muda a cada post novo. Por isso os dois pedem frequências diferentes: arquivos em incremental semanal, banco em cópia diária. Restaurar só um dos dois deixa o site quebrado.</p>
</details>

<details>
<summary>Quando o backup de arquivos WordPress precisa ser feito com mais frequência?</summary>
<p>Quando os arquivos mudam todo dia, como em sites que sobem imagens ou trocam plugins com frequência. Um site que publica mídia diária pede cópia incremental diária dos `uploads`; um institucional estático aceita cópia semanal. Defina uma completa por semana mais incrementais nos dias intermediários para equilibrar proteção e custo de armazenamento. A retenção ideal fica entre 7 e 14 versões, o suficiente para voltar duas semanas sem estourar o destino externo.</p>
</details>

<details>
<summary>Onde guardar o backup de arquivos WordPress com segurança contra ransomware?</summary>
<p>Sempre fora do servidor de produção, em um destino externo como Amazon S3, Backblaze B2 ou Google Drive. Guardar a cópia na mesma pasta do site é o erro mais comum: se o servidor sofre ransomware ou falha de disco, a cópia cai junto. Segundo o <a href="https://radar.cloudflare.com/security/application-layer">Cloudflare Radar</a>, a maior parte dos ataques de aplicação no Brasil é volumétrica, o que torna o isolamento da cópia em outra infraestrutura uma defesa concreta, e não teórica.</p>
</details>

---

## Próximos passos para proteger seus arquivos

Backup de arquivos WordPress deixa de ser uma caixa marcada e vira proteção quando motor, destino externo, cópia incremental e teste de restauração estão nos cinco passos deste tutorial. O ponto que separa uma rotina confiável de uma falsa segurança é simples: a cópia mora fora do servidor, o plugin está na última versão e a restauração já foi testada em staging. Comece instalando o motor de cópia, aponte o destino externo e só então confie no agendamento. Para seguir o caminho, o <a href="https://full.services/backup-wordpress-automatico/">backup WordPress automático</a> e o <a href="https://full.services/como-restaurar-um-site-wordpress-infectado-em-menos-de-1-hora/">como restaurar um site WordPress infectado em menos de 1 hora</a> são os próximos guias. Para continuar estudando, o FULL Academy reúne tutoriais, guias e reviews em <a href="https://full.services/academy/">FULL.services/academy</a>.

<p class="wp-caption-text">Legenda: as caixas separadas de temas, plugins e uploads mostram o backup de arquivos rodando sem o banco, com destino externo configurado.</p>