# Backup manual WordPress: O passo a passo em 4 etapas

O <strong>backup manual</strong> do WordPress copia arquivos e banco de dados sem plugin, dando controle total sobre a recuperação. Segundo o <a href="https://nvd.nist.gov/vuln/detail/CVE-2018-17207" rel="noopener" target="_blank">NVD/NIST</a> (2018), até plugins de backup já tiveram falhas críticas CVSS 9.8. Uma cópia completa exige os arquivos e o dump MySQL juntos, nunca só a pasta wp-content. Faça antes de cada atualização de risco.

Backup manual é o processo de baixar, com suas próprias mãos, as duas metades de um site WordPress: a pasta de arquivos e o banco de dados MySQL. Você não depende de plugin, agendador ou serviço externo. O método entrega controle total e custo zero, mas exige disciplina e conhecimento de SFTP e phpMyAdmin. Este guia mostra o backup manual completo em quatro etapas testadas, com os erros que mais aparecem nos tickets da FULL e como validar a cópia antes de precisar dela. Para quem quer o contexto maior, vale ler também os <a href="https://full.services/seguranca-wordpress/">guias de segurança WordPress da FULL</a>.

---

## Primeiros passos: O que entra num backup manual completo

Um backup manual completo tem exatamente dois componentes, e ignorar um deles é o erro número um nos chamados de suporte: os arquivos do site (wp-content, wp-config.php e raiz) e o banco de dados MySQL. Em 2026, com sites WooCommerce passando de 1 GB, separar essas duas metades define se a restauração funciona ou falha.

<p class="wp-caption-text">Legenda: as duas metades de um backup manual, arquivos e banco, precisam ser baixadas na mesma janela de tempo para ficarem consistentes.</p>

<table id="componentes-backup-manual">
  <caption>Backup manual WordPress: componentes, conteúdo e risco de omissão</caption>
  <thead>
    <tr>
      <th scope="col">Componente</th>
      <th scope="col">O que guarda</th>
      <th scope="col">Risco se esquecer</th>
    </tr>
  </thead>
  <tbody>
    <tr>
      <th scope="row">Arquivos (wp-content)</th>
      <td>Tema, plugins, uploads e mídia</td>
      <td>Site volta sem imagens nem layout</td>
    </tr>
    <tr>
      <th scope="row">Banco MySQL</th>
      <td>Posts, páginas, usuários e ajustes</td>
      <td>Restaura o tema, mas perde todo o conteúdo</td>
    </tr>
    <tr>
      <th scope="row">wp-config.php</th>
      <td>Credenciais e chaves de segurança</td>
      <td>Conexão com o banco quebra na volta</td>
    </tr>
  </tbody>
</table>

Quem entende essa divisão já evita 70% dos problemas de restauração. O <a href="https://full.services/glossario/backup-wordpress/">backup do WordPress</a> só é confiável quando as duas metades batem na mesma data.

---

## Como fazer backup manual em 3 passos práticos

O backup manual divide-se em dois downloads que devem ocorrer na mesma janela de tempo: arquivos por SFTP, depois banco pelo phpMyAdmin. Em testes recorrentes no suporte da FULL, separar as duas metades por mais de 1 hora em sites ativos gera inconsistência, com um pedido WooCommerce entrando no meio. Faça os 3 passos em sequência.

### Passo 1: Baixe os arquivos por SFTP com o Filezilla

Conecte ao servidor pelo Filezilla usando SFTP na porta 22, nunca FTP simples na porta 21, que trafega senha em texto puro. No painel remoto, navegue até a raiz do site (geralmente public_html) e arraste a pasta inteira para o seu computador. Force o modo de transferência binário: o modo ASCII corrompe JPGs e PDFs sem aviso. Para sites grandes, comprima em .zip pelo <a href="https://full.services/glossario/cpanel-wordpress/">cPanel</a> antes de baixar.

### Passo 2: Exporte o banco MySQL pelo phpMyAdmin

Abra o phpMyAdmin pelo painel de hospedagem, selecione o banco do site na lista lateral e clique em Exportar. Escolha o método Personalizado e marque a opção "Adicionar DROP TABLE / VIEW", que evita o erro 1050 na restauração. Selecione o formato SQL com compressão gzip para bancos acima de 50 MB. O arquivo .sql gerado contém posts, páginas, usuários e todas as configurações. Guarde-o junto do .zip dos arquivos, no mesmo diretório datado.

### Passo 3: Nomeie e armazene as duas cópias com data

Renomeie os dois arquivos com o padrão site-aaaa-mm-dd para rastrear a data exata da cópia. Guarde uma redundância fora do servidor: nuvem mais disco local. Um backup manual que mora no mesmo servidor do site morre junto com ele num ataque de ransomware ou falha de disco.

---

## Como validar que o backup manual restaura de fato

Validar o backup manual é a etapa que 9 em cada 10 operadores pulam, e é onde o desastre nasce. Um arquivo .sql de 0 KB ou um .zip truncado só revela o defeito na hora da emergência. A validação leva 10 minutos num ambiente de teste, nunca no site real, conferindo três pontos antes de confiar na cópia.

A checagem mínima tem três provas concretas. Primeiro, o tamanho do .sql: um banco real raramente fica abaixo de 2 MB, então um dump de poucos KB indica exportação falha. Segundo, abra o .sql num editor e procure a linha CREATE TABLE wp_posts, que confirma a presença do conteúdo. Terceiro, descompacte o .zip e cheque se a pasta uploads tem as imagens. Só depois desses três OKs o backup manual é legítimo. Para um roteiro detalhado de volta, veja <a href="https://full.services/como-restaurar-o-wordpress-a-partir-do-backup/">como restaurar o WordPress a partir do backup</a>.

---

## Os 3 erros de restauração mais comuns no suporte

A restauração do backup manual falha quase sempre pelos mesmos 3 motivos previsíveis. Nos tickets de suporte da FULL, o erro 1050 "table already exists" lidera: surge ao importar o .sql por cima de tabelas existentes sem DROP TABLE na exportação. Os outros dois são o limite de upload do PHP e o prefixo de tabela errado.

O segundo erro mais comum tende a ser o estouro do limite de 50 MB de upload do PHP no phpMyAdmin. Em sites WooCommerce com banco acima de 1 GB, a importação simplesmente para no meio. O caminho nesses casos é importar via linha de comando com o comando MySQL, ou dividir o dump por tabela. O terceiro erro envolve o arquivo <a href="https://full.services/glossario/wp-config/">wp-config.php</a>: se o prefixo das tabelas (wp_ ou outro) não bate com o declarado ali, o site volta em branco. Conferir esse prefixo antes resolve. O detalhe de edição está em <a href="https://full.services/como-editar-o-arquivo-wp-config-php-no-wordpress/">como editar o arquivo wp-config.php no WordPress</a>.

---

## Risco real: Até plugins de backup têm CVE

Confiar a cópia a um plugin não elimina o risco de segurança, e os números vêm de fonte oficial. Segundo o repositório de vulnerabilidades do NVD/NIST, o Duplicator acumulou duas falhas críticas com CVSS 9.8, a <a href="https://nvd.nist.gov/vuln/detail/CVE-2018-17207" rel="noopener" target="_blank">CVE-2018-17207</a> e a CVE-2018-25095, ambas corrigidas nas versões 1.2.42 e 1.3.0. O UpdraftPlus teve a <a href="https://nvd.nist.gov/vuln/detail/CVE-2024-10957" rel="noopener" target="_blank">CVE-2024-10957</a>, CVSS 8.8, que afetava versões abaixo da 1.24.12. Todas já corrigidas.

Aqui vale a leitura correta do dado: muitos CVEs já corrigidos indicam manutenção ativa, não abandono. O risco atual dos três plugins mais usados (UpdraftPlus, All-in-One WP Migration e Duplicator) é zero falhas sem patch hoje. A FULL fala disso com autoridade: é a única empresa brasileira credenciada como CVE Numbering Authority (CNA) sob a CISA desde maio de 2022, autorizada a atribuir IDs CVE oficiais. Para auditar seu site, o <a href="https://security.full.services">FULL Scan</a> verifica se algum plugin está numa versão vulnerável.

---

## Backup manual ou gerenciado: Quando vale cada um

O backup manual é insuperável para um cenário pontual de risco, mas falha como rotina porque depende da disciplina do operador. Em 2026, a maioria dos sites que chegam invadidos no suporte da FULL tinham backup manual planejado, mas a última cópia era de meses atrás. Controle total versus o risco do esquecimento humano.

<ul class="arvore-decisao" style="margin-bottom:1.5rem">
  <li><strong>Se você vai atualizar PHP, tema ou plugin de risco agora</strong> → faça backup manual imediato antes da mudança, é o controle mais confiável pontual.</li>
  <li><strong>Se o site muda toda semana com conteúdo ou vendas</strong> → backup manual semanal não basta, use agendamento automático.</li>
  <li><strong>Se você gerencia vários sites de clientes</strong> → evite backup manual por site, centralize em backup gerenciado.</li>
  <li><strong>Se o site é estático e raramente muda</strong> → backup manual mensal já cobre o risco com segurança.</li>
</ul>

Cada opção compete por uma dimensão distinta: o backup manual por controle total e custo zero; o UpdraftPlus por agendamento; o backup gerenciado da FULL por não depender de ninguém lembrar. Para a rotina automática, conheça o <a href="https://full.services/updraft-plus-para-wordpress/">UpdraftPlus para WordPress</a> e a estratégia de <a href="https://full.services/backup-wordpress-automatico/">backup WordPress automático</a>.

---

## Plano FULL: Backup automático gerenciado no bundle

O backup manual resolve a emergência, mas a continuidade exige automação, e é aqui que o plano PRO da FULL entra. Por R$849 ao ano, o plano PRO inclui 17 plugins premium e o backup automático gerenciado no bundle, sem licença avulsa por ferramenta. Diluído nos 10 sites do plano, sai R$85 por site ao ano.

A gente vê no suporte da FULL que site com backup gerenciado restaura em minutos, enquanto o backup manual esquecido não restaura nunca. Esse R$85 por site fica abaixo do preço da licença anual do UpdraftPlus Premium isolado. Compare os <a href="https://full.services/planos">planos da FULL</a> e veja o que cabe na sua operação.

---

<h2 id="faq">Perguntas frequentes sobre backup manual</h2>

<details>
  <summary>É possível fazer backup manual do WordPress sem nenhum plugin?</summary>
  <p>Sim, o backup manual dispensa qualquer plugin por definição. Você baixa os arquivos por SFTP com o Filezilla e exporta o banco MySQL pelo phpMyAdmin, as duas metades do site. O método nativo da hospedagem (cPanel) também gera o .zip e o .sql sem instalar nada. A única exigência é ter acesso SFTP e ao painel de banco de dados do servidor.</p>
</details>

<details>
  <summary>Por que o backup manual só dos arquivos não restaura o site inteiro?</summary>
  <p>Porque metade do WordPress mora no banco de dados, não nos arquivos. A pasta wp-content guarda tema, plugins e imagens, mas posts, páginas, usuários e configurações ficam todos no MySQL. Um backup manual só de arquivos restaura o visual e volta um site vazio, sem nenhum conteúdo. Por isso o dump .sql do phpMyAdmin é obrigatório junto do .zip dos arquivos.</p>
</details>

<details>
  <summary>Qual a diferença entre backup manual e backup automático no WordPress?</summary>
  <p>O backup manual é feito por você, sob demanda, com controle total e custo zero, mas depende de lembrar. O backup automático roda sozinho num agendamento via cron, sem intervenção humana. Na prática, o backup manual vence para ações pontuais de risco (antes de atualizar PHP), e o automático vence para a rotina, porque elimina o fator esquecimento, a causa número um de sites sem cópia recente.</p>
</details>

<details>
  <summary>Quantas vezes por mês vale fazer backup manual de um site WordPress?</summary>
  <p>Depende da frequência de mudança do site. Um site estático institucional pede backup manual mensal e antes de cada atualização de plugin ou tema. Um site WooCommerce ou blog ativo muda todo dia: o backup manual semanal já deixa uma janela perigosa de perda, e o ideal passa a ser backup automático diário. A regra prática: faça backup manual sempre antes de qualquer alteração que possa quebrar o site.</p>
</details>

<details>
  <summary>O que entra num backup manual completo de um site WordPress?</summary>
  <p>São três itens obrigatórios: a pasta de arquivos (wp-content e a raiz, via SFTP), o arquivo wp-config.php com as credenciais, e o dump do banco MySQL (.sql exportado pelo phpMyAdmin). Sem qualquer uma das três partes, o backup manual fica incompleto. Guarde os arquivos com a data no nome e em local fora do servidor do site, porque cópia no mesmo disco morre junto com o site num ataque.</p>
</details>

---

## Próximos passos para proteger seu site WordPress

O backup manual é a base da recuperação de qualquer site WordPress: arquivos por SFTP, banco pelo phpMyAdmin, validação em ambiente de teste e atenção aos erros de restauração. Faça a primeira cópia hoje, antes da próxima atualização de risco. Depois, decida entre manter a rotina manual ou migrar para o backup automático gerenciado, conforme a frequência de mudança do seu site. Para aprofundar, o <a href="https://full.services/academy/">FULL Academy</a> reúne os tutoriais, guias e reviews de segurança WordPress em um só lugar, e o <a href="https://full.services/guias/guia-de-seguranca-para-wordpress">guia de segurança para WordPress</a> conecta backup, hardening e monitoramento numa estratégia única.