Backup de arquivos WordPress copia o `wp-content`, temas, plugins e uploads para um destino fora do servidor. Segundo o Cloudflare Radar (2026), 82,4% dos ataques de aplicação no Brasil são DDoS, o que reforça ter cópia externa. O ganho real está no destino remoto, não no plugin. Configure, agende e teste a restauração antes de confiar.
Backup de arquivos WordPress é a cópia de todos os arquivos do site, separada do dump do banco de dados: temas, plugins e a pasta wp-content/uploads com suas imagens. Muita gente acha que exportar o banco resolve, mas um banco íntegro sem os arquivos deixa o site sem layout e sem mídia. A dor que chega no suporte da FULL quase sempre é a mesma: o backup parecia existir, mas a cópia morava na mesma pasta do site invadido. Este tutorial mostra como montar um backup de arquivos WordPress confiável, com destino externo, agendamento real e teste de restauração. Para o contexto completo de proteção, os guias de segurança WordPress da FULL complementam cada etapa daqui.
Neste artigo
O que entra no backup de arquivos WordPress
O backup de arquivos WordPress cobre 4 conjuntos que o dump do banco nunca inclui: o core do WordPress, a pasta de temas, a pasta de plugins e o wp-content/uploads. Desses, só o uploads cresce sem parar, porque guarda toda imagem, PDF e mídia enviada ao site, e costuma ser o maior peso da cópia inteira.
A tabela abaixo separa cada conjunto pelo que guarda e por que importa na restauração. O core é recuperável do WordPress.org, mas o uploads e o tema customizado não existem em nenhum outro lugar, então são a parte realmente insubstituível do backup de arquivos WordPress.
| Conjunto | O que guarda | Peso na cópia |
|---|---|---|
| Core do WordPress | Arquivos `wp-admin` e `wp-includes` | Baixo, recuperável do WordPress.org |
| Temas (`wp-content/themes`) | Tema ativo e child theme customizado | Médio, único se houver customização |
| Plugins (`wp-content/plugins`) | Plugins ativos e suas configurações em arquivo | Médio a alto conforme o stack |
| Uploads (`wp-content/uploads`) | Imagens, PDFs e mídia da biblioteca | Alto, cresce todo dia, insubstituível |
A regra prática: o wp-config.php e o .htaccess na raiz também entram, porque carregam chaves e regras de reescrita. Um backup do WordPress que ignora esses dois volta sem conexão ao banco.
Por que separar arquivos do banco de dados
Separar o backup de arquivos WordPress do dump do banco muda a velocidade de restauração e o tamanho da cópia. O banco de um site institucional pesa poucos megabytes e muda toda vez que sai um post; os arquivos pesam gigabytes e mudam quando você atualiza um plugin ou sobe uma imagem. Tratar os dois com a mesma frequência desperdiça armazenamento.
Na prática, o banco pede backup diário e os arquivos aceitam cópia incremental: só o que mudou desde a última vez. Backup de arquivos WordPress completo e diário de um site com 8 GB de uploads em servidor compartilhado gera pico de I/O e estoura a cota de disco em semanas. A cópia incremental resolve isso copiando apenas o delta. Para entender a divisão de responsabilidades, veja backup do banco de dados WordPress e como ele se encaixa na rotina de arquivos.
Passo a passo: Como fazer backup de arquivos WordPress
Configurar um backup de arquivos WordPress confiável leva 5 passos, do plugin ao teste de restauração, e cada passo termina com um check de validação. O caminho abaixo usa UpdraftPlus como motor de cópia, a combinação que a gente mais vê dar certo na base FULL para separar arquivos de banco com destino externo.
Backup sem validação é só esperança, então não pule os checks. Para o roteiro de volta, veja como restaurar o WordPress a partir do backup antes de confiar na rotina.
Passo 1: Instale o motor de backup de arquivos
Instale um plugin que copie arquivos e banco de forma separada. Segundo a documentação oficial do UpdraftPlus, o backup permite escolher entre banco, plugins, temas, uploads e “others” em caixas distintas, o que deixa você copiar só os arquivos quando o banco já tem rotina própria. Instale o plugin pelo painel e abra Configurações para ver as caixas. Check de validação: a aba de backup deve listar as quatro categorias de arquivo separadas do banco.
Passo 2: Defina o destino externo da cópia
Aponte os arquivos para um armazenamento fora do servidor de produção. Configure no UpdraftPlus um destino remoto: Amazon S3, Backblaze B2 ou Google Drive funcionam e isolam a cópia do site. Backblaze B2 costuma sair mais barato por GB para sites com uploads pesado, enquanto o S3 entrega mais regiões. Check de validação: dispare um backup manual só de arquivos e confirme que o .zip aparece no destino externo, nunca apenas no disco local do servidor.
Passo 3: Agende a cópia incremental dos arquivos
Programe os arquivos em frequência menor que a do banco, com incremental entre as cópias completas. Um backup de arquivos WordPress completo semanal mais incrementais diários cobre a maioria dos sites sem estourar a cota de armazenamento. Defina horário de madrugada e fora do cron do WordPress, que depende de visita à página para disparar. Check de validação: confira no log que a cópia rodou no horário agendado e que o segundo dia marca incremental, não completa.
Passo 4: Configure retenção e alerta de falha
Limite quantas versões dos arquivos o site guarda e ligue o alerta de falha. Defina retenção de 7 a 14 cópias no UpdraftPlus para não estourar o armazenamento externo, e configure o e-mail de aviso quando um job falhar. O alerta é o que transforma backup de arquivos WordPress em algo confiável, porque a falha silenciosa é a regra: um job que para não avisa. Check de validação: remova a credencial do destino de propósito e confirme que o alerta de falha chega na sua caixa.
Passo 5: Teste a restauração dos arquivos
Restaure os arquivos em um ambiente isolado antes de declarar a rotina pronta. Pegue um ambiente de staging e restaure a cópia mais recente de temas, plugins e uploads, conferindo se as imagens da biblioteca de mídia carregam. Restauração não testada não conta como backup de arquivos WordPress. Check de validação: o site restaurado abre, exibe o tema correto e as imagens aparecem nas páginas, sem quadrado quebrado.
Segurança: O backup que falha quando o plugin tem CVE
Backup de arquivos WordPress depende de um plugin, e plugin é código que pode ter vulnerabilidade. O que separa risco real de pânico é a diferença entre falha sem patch hoje e CVE histórica já corrigida. A FULL é a única empresa brasileira credenciada como CVE Numbering Authority (CNA) sob a CISA desde maio de 2022, então quem escreve aqui sobre o tema cataloga CVE oficial.
Os três motores de backup mais usados já tiveram falhas corrigidas, e isso é sinal de manutenção ativa, não de plugin ruim. O UpdraftPlus teve a CVE-2024-10957, CVSS 8.8, uma falha de PHP Object Injection corrigida na versão 1.24.12. O BackWPup registrou a CVE-2023-5504, CVSS 8.7, um Stored XSS via parâmetro, corrigido na 4.0.2. Já o All in One Security teve no passado a CVE-2016-10887, CVSS 9.8 crítica, resolvida na 4.0.9.
Nenhuma dessas três é risco atual: todas têm patch publicado. O risco vira real quando o site roda versão antiga do plugin. Para ver o que está exposto agora, escaneie o site no FULL Scan, que cruza os plugins instalados com a base global de CVEs.
Backup de arquivos WordPress na FULL: 16 plugins por r$85 o site
No plano PRO da FULL, por R$849, você ativa 16 plugins premium em até 10 sites, o que dá R$85 por site para incluir UpdraftPlus, All in One Security e WP Rocket no mesmo bundle. O motor de backup já entra sem licença avulsa por instalação.
Para quem administra mais de um site, isso significa o motor de backup, a camada de segurança e a de performance ativados em um clique, sem comprar licença separada de cada plugin. Veja os detalhes em FULL.services/planos. A gente vê no suporte que o custo de licença avulsa por site é o que trava agências de padronizarem o backup de arquivos WordPress em toda a carteira: cada plugin premium comprado à parte vira mais uma renovação anual para controlar. Com o bundle, o UpdraftPlus já chega ativado e atualizado junto do resto do stack, o que mantém o motor de cópia sempre na versão com patch e fecha a porta das CVEs antigas.
Perguntas frequentes sobre backup de arquivos WordPress
Por que um backup de arquivos falha mesmo aparecendo como concluído?
Porque “concluído” no painel só confirma que o `.zip` foi gerado, não que ele restaura. Um pacote de `uploads` interrompido por estouro de memória do PHP, ou um destino externo com credencial expirada, produz um arquivo presente mas corrompido. A única prova de que o backup de arquivos WordPress funciona é restaurar a cópia em um ambiente de staging e conferir se as imagens da biblioteca de mídia carregam de verdade nas páginas.
É possível fazer backup de arquivos WordPress sem instalar nenhum plugin?
É possível sim, pelo WP-CLI quando você tem acesso SSH ao servidor. Um comando `wp media` lista os anexos e o `tar` compacta a pasta `wp-content` inteira em um único pacote, que o `rsync` envia para o destino externo. Sem acesso SSH, o caminho prático é um plugin como o UpdraftPlus ou o BackWPup, que faz o mesmo trabalho pela interface do WordPress, sem linha de comando.
Qual a diferença entre backup de arquivos e backup do banco de dados?
O backup de arquivos WordPress copia temas, plugins e a pasta `uploads`, enquanto o backup do banco copia posts, configurações e usuários em um dump SQL. Os arquivos pesam gigabytes e mudam pouco; o banco pesa megabytes e muda a cada post novo. Por isso os dois pedem frequências diferentes: arquivos em incremental semanal, banco em cópia diária. Restaurar só um dos dois deixa o site quebrado.
Quando o backup de arquivos WordPress precisa ser feito com mais frequência?
Quando os arquivos mudam todo dia, como em sites que sobem imagens ou trocam plugins com frequência. Um site que pública mídia diária pede cópia incremental diária dos `uploads`; um institucional estático aceita cópia semanal. Defina uma completa por semana mais incrementais nos dias intermediários para equilibrar proteção e custo de armazenamento. A retenção ideal fica entre 7 e 14 versões, o suficiente para voltar duas semanas sem estourar o destino externo.
Onde guardar o backup de arquivos WordPress com segurança contra ransomware?
Sempre fora do servidor de produção, em um destino externo como Amazon S3, Backblaze B2 ou Google Drive. Guardar a cópia na mesma pasta do site é o erro mais comum: se o servidor sofre ransomware ou falha de disco, a cópia cai junto. Segundo o Cloudflare Radar, a maior parte dos ataques de aplicação no Brasil é volumétrica, o que torna o isolamento da cópia em outra infraestrutura uma defesa concreta, e não teórica.
Próximos passos para proteger seus arquivos
Backup de arquivos WordPress deixa de ser uma caixa marcada e vira proteção quando motor, destino externo, cópia incremental e teste de restauração estão nos cinco passos deste tutorial. O ponto que separa uma rotina confiável de uma falsa segurança é simples: a cópia mora fora do servidor, o plugin está na última versão e a restauração já foi testada em staging. Comece instalando o motor de cópia, aponte o destino externo e só então confie no agendamento. Para seguir o caminho, o backup WordPress automático e o como restaurar um site WordPress infectado em menos de 1 hora são os próximos guias. Para continuar estudando, o FULL Academy reúne tutoriais, guias e reviews em FULL.services/academy.
Legenda: as caixas separadas de temas, plugins e uploads mostram o backup de arquivos rodando sem o banco, com destino externo configurado.
Saúde e Bem-Estar
Restaurantes & Alimentação
Hotelaria & Turismo
Imobiliárias & Construção
Negócios Locais & Franquias
E-commerce & Lojas Virtuais
Educação & Cursos
Profissionais Liberais & Serviços
Agências Digitais & Freelancers
MEIs e Autônomos
Agências e Freelancers
Pequenas Empresas
Startups
Franquias
Elementor PRO
Rank Math
SEOPress
Happy Addons
Tutor LMS
WP Optimize
Crocoblock
WP Rocket
Ultimate Addons
Perfmatter
Funnel Kit
AIOS
Astra PRO
ACF
Essential Addons
WP Forms
UpdraftPlus
Ver mais
FULL CRM 
FULL Widget
FULL Woo
FULL Pop-up
FULL Security
FULL NPS
FULL Update
FULL Social Proof
FULL Analytics
FULL Templates
FULL Creator AI
FULL Backup
FULL Safe Login
FULL SMTP
FULL Monitor
FULL Speed
FULL Cache
FULL Whitelabel
