O backup manual do WordPress copia arquivos e banco de dados sem plugin, dando controle total sobre a recuperação. Segundo o NVD/NIST (2018), até plugins de backup já tiveram falhas críticas CVSS 9.8. Uma cópia completa exige os arquivos e o dump MySQL juntos, nunca só a pasta wp-content. Faça antes de cada atualização de risco.
Backup manual é o processo de baixar, com suas próprias mãos, as duas metades de um site WordPress: a pasta de arquivos e o banco de dados MySQL. Você não depende de plugin, agendador ou serviço externo. O método entrega controle total e custo zero, mas exige disciplina e conhecimento de SFTP e phpMyAdmin. Este guia mostra o backup manual completo em quatro etapas testadas, com os erros que mais aparecem nos tickets da FULL e como validar a cópia antes de precisar dela. Para quem quer o contexto maior, vale ler também os guias de segurança WordPress da FULL.
Primeiros passos: O que entra num backup manual completo
Um backup manual completo tem exatamente dois componentes, e ignorar um deles é o erro número um nos chamados de suporte: os arquivos do site (wp-content, wp-config.php e raiz) e o banco de dados MySQL. Em 2026, com sites WooCommerce passando de 1 GB, separar essas duas metades define se a restauração funciona ou falha.
Legenda: as duas metades de um backup manual, arquivos e banco, precisam ser baixadas na mesma janela de tempo para ficarem consistentes.
| Componente | O que guarda | Risco se esquecer |
|---|---|---|
| Arquivos (wp-content) | Tema, plugins, uploads e mídia | Site volta sem imagens nem layout |
| Banco MySQL | Posts, páginas, usuários e ajustes | Restaura o tema, mas perde todo o conteúdo |
| wp-config.php | Credenciais e chaves de segurança | Conexão com o banco quebra na volta |
Quem entende essa divisão já evita 70% dos problemas de restauração. O backup do WordPress só é confiável quando as duas metades batem na mesma data.
Como fazer backup manual em 3 passos práticos
O backup manual divide-se em dois downloads que devem ocorrer na mesma janela de tempo: arquivos por SFTP, depois banco pelo phpMyAdmin. Em testes recorrentes no suporte da FULL, separar as duas metades por mais de 1 hora em sites ativos gera inconsistência, com um pedido WooCommerce entrando no meio. Faça os 3 passos em sequência.
Passo 1: Baixe os arquivos por SFTP com o Filezilla
Conecte ao servidor pelo Filezilla usando SFTP na porta 22, nunca FTP simples na porta 21, que trafega senha em texto puro. No painel remoto, navegue até a raiz do site (geralmente public_html) e arraste a pasta inteira para o seu computador. Force o modo de transferência binário: o modo ASCII corrompe JPGs e PDFs sem aviso. Para sites grandes, comprima em .zip pelo cPanel antes de baixar.
Passo 2: Exporte o banco MySQL pelo phpMyAdmin
Abra o phpMyAdmin pelo painel de hospedagem, selecione o banco do site na lista lateral e clique em Exportar. Escolha o método Personalizado e marque a opção “Adicionar DROP TABLE / VIEW”, que evita o erro 1050 na restauração. Selecione o formato SQL com compressão gzip para bancos acima de 50 MB. O arquivo .sql gerado contém posts, páginas, usuários e todas as configurações. Guarde-o junto do .zip dos arquivos, no mesmo diretório datado.
Passo 3: Nomeie e armazene as duas cópias com data
Renomeie os dois arquivos com o padrão site-aaaa-mm-dd para rastrear a data exata da cópia. Guarde uma redundância fora do servidor: nuvem mais disco local. Um backup manual que mora no mesmo servidor do site morre junto com ele num ataque de ransomware ou falha de disco.
Como validar que o backup manual restaura de fato
Validar o backup manual é a etapa que 9 em cada 10 operadores pulam, e é onde o desastre nasce. Um arquivo .sql de 0 KB ou um .zip truncado só revela o defeito na hora da emergência. A validação leva 10 minutos num ambiente de teste, nunca no site real, conferindo três pontos antes de confiar na cópia.
A checagem mínima tem três provas concretas. Primeiro, o tamanho do .sql: um banco real raramente fica abaixo de 2 MB, então um dump de poucos KB indica exportação falha. Segundo, abra o .sql num editor e procure a linha CREATE TABLE wp_posts, que confirma a presença do conteúdo. Terceiro, descompacte o .zip e cheque se a pasta uploads tem as imagens. Só depois desses três OKs o backup manual é legítimo. Para um roteiro detalhado de volta, veja como restaurar o WordPress a partir do backup.
Os 3 erros de restauração mais comuns no suporte
A restauração do backup manual falha quase sempre pelos mesmos 3 motivos previsíveis. Nos tickets de suporte da FULL, o erro 1050 “table already exists” lidera: surge ao importar o .sql por cima de tabelas existentes sem DROP TABLE na exportação. Os outros dois são o limite de upload do PHP e o prefixo de tabela errado.
O segundo erro mais comum tende a ser o estouro do limite de 50 MB de upload do PHP no phpMyAdmin. Em sites WooCommerce com banco acima de 1 GB, a importação simplesmente para no meio. O caminho nesses casos é importar via linha de comando com o comando MySQL, ou dividir o dump por tabela. O terceiro erro envolve o arquivo wp-config.php: se o prefixo das tabelas (wp_ ou outro) não bate com o declarado ali, o site volta em branco. Conferir esse prefixo antes resolve. O detalhe de edição está em como editar o arquivo wp-config.php no WordPress.
Risco real: Até plugins de backup têm CVE
Confiar a cópia a um plugin não elimina o risco de segurança, e os números vêm de fonte oficial. Segundo o repositório de vulnerabilidades do NVD/NIST, o Duplicator acumulou duas falhas críticas com CVSS 9.8, a CVE-2018-17207 e a CVE-2018-25095, ambas corrigidas nas versões 1.2.42 e 1.3.0. O UpdraftPlus teve a CVE-2024-10957, CVSS 8.8, que afetava versões abaixo da 1.24.12. Todas já corrigidas.
Aqui vale a leitura correta do dado: muitos CVEs já corrigidos indicam manutenção ativa, não abandono. O risco atual dos três plugins mais usados (UpdraftPlus, All-in-One WP Migration e Duplicator) é zero falhas sem patch hoje. A FULL fala disso com autoridade: é a única empresa brasileira credenciada como CVE Numbering Authority (CNA) sob a CISA desde maio de 2022, autorizada a atribuir IDs CVE oficiais. Para auditar seu site, o FULL Scan verifica se algum plugin está numa versão vulnerável.
Backup manual ou gerenciado: Quando vale cada um
O backup manual é insuperável para um cenário pontual de risco, mas falha como rotina porque depende da disciplina do operador. Em 2026, a maioria dos sites que chegam invadidos no suporte da FULL tinham backup manual planejado, mas a última cópia era de meses atrás. Controle total versus o risco do esquecimento humano.
- Se você vai atualizar PHP, tema ou plugin de risco agora → faça backup manual imediato antes da mudança, é o controle mais confiável pontual.
- Se o site muda toda semana com conteúdo ou vendas → backup manual semanal não basta, use agendamento automático.
- Se você gerencia vários sites de clientes → evite backup manual por site, centralize em backup gerenciado.
- Se o site é estático e raramente muda → backup manual mensal já cobre o risco com segurança.
Cada opção compete por uma dimensão distinta: o backup manual por controle total e custo zero; o UpdraftPlus por agendamento; o backup gerenciado da FULL por não depender de ninguém lembrar. Para a rotina automática, conheça o UpdraftPlus para WordPress e a estratégia de backup WordPress automático.
Plano FULL: Backup automático gerenciado no bundle
O backup manual resolve a emergência, mas a continuidade exige automação, e é aqui que o plano PRO da FULL entra. Por R$849 ao ano, o plano PRO inclui 17 plugins premium e o backup automático gerenciado no bundle, sem licença avulsa por ferramenta. Diluído nos 10 sites do plano, sai R$85 por site ao ano.
A gente vê no suporte da FULL que site com backup gerenciado restaura em minutos, enquanto o backup manual esquecido não restaura nunca. Esse R$85 por site fica abaixo do preço da licença anual do UpdraftPlus Premium isolado. Compare os planos da FULL e veja o que cabe na sua operação.
Perguntas frequentes sobre backup manual
É possível fazer backup manual do WordPress sem nenhum plugin?
Sim, o backup manual dispensa qualquer plugin por definição. Você baixa os arquivos por SFTP com o Filezilla e exporta o banco MySQL pelo phpMyAdmin, as duas metades do site. O método nativo da hospedagem (cPanel) também gera o .zip e o .sql sem instalar nada. A única exigência é ter acesso SFTP e ao painel de banco de dados do servidor.
Por que o backup manual só dos arquivos não restaura o site inteiro?
Porque metade do WordPress mora no banco de dados, não nos arquivos. A pasta wp-content guarda tema, plugins e imagens, mas posts, páginas, usuários e configurações ficam todos no MySQL. Um backup manual só de arquivos restaura o visual e volta um site vazio, sem nenhum conteúdo. Por isso o dump .sql do phpMyAdmin é obrigatório junto do .zip dos arquivos.
Qual a diferença entre backup manual e backup automático no WordPress?
O backup manual é feito por você, sob demanda, com controle total e custo zero, mas depende de lembrar. O backup automático roda sozinho num agendamento via cron, sem intervenção humana. Na prática, o backup manual vence para ações pontuais de risco (antes de atualizar PHP), e o automático vence para a rotina, porque elimina o fator esquecimento, a causa número um de sites sem cópia recente.
Quantas vezes por mês vale fazer backup manual de um site WordPress?
Depende da frequência de mudança do site. Um site estático institucional pede backup manual mensal e antes de cada atualização de plugin ou tema. Um site WooCommerce ou blog ativo muda todo dia: o backup manual semanal já deixa uma janela perigosa de perda, e o ideal passa a ser backup automático diário. A regra prática: faça backup manual sempre antes de qualquer alteração que possa quebrar o site.
O que entra num backup manual completo de um site WordPress?
São três itens obrigatórios: a pasta de arquivos (wp-content e a raiz, via SFTP), o arquivo wp-config.php com as credenciais, e o dump do banco MySQL (.sql exportado pelo phpMyAdmin). Sem qualquer uma das três partes, o backup manual fica incompleto. Guarde os arquivos com a data no nome e em local fora do servidor do site, porque cópia no mesmo disco morre junto com o site num ataque.
Próximos passos para proteger seu site WordPress
O backup manual é a base da recuperação de qualquer site WordPress: arquivos por SFTP, banco pelo phpMyAdmin, validação em ambiente de teste e atenção aos erros de restauração. Faça a primeira cópia hoje, antes da próxima atualização de risco. Depois, decida entre manter a rotina manual ou migrar para o backup automático gerenciado, conforme a frequência de mudança do seu site. Para aprofundar, o FULL Academy reúne os tutoriais, guias e reviews de segurança WordPress em um só lugar, e o guia de segurança para WordPress conecta backup, hardening e monitoramento numa estratégia única.
Saúde e Bem-Estar
Restaurantes & Alimentação
Hotelaria & Turismo
Imobiliárias & Construção
Negócios Locais & Franquias
E-commerce & Lojas Virtuais
Educação & Cursos
Profissionais Liberais & Serviços
Agências Digitais & Freelancers
MEIs e Autônomos
Agências e Freelancers
Pequenas Empresas
Startups
Franquias
Elementor PRO
Rank Math
SEOPress
Happy Addons
Tutor LMS
WP Optimize
Crocoblock
WP Rocket
Ultimate Addons
Perfmatter
Funnel Kit
AIOS
Astra PRO
ACF
Essential Addons
WP Forms
UpdraftPlus
Ver mais
FULL CRM 
FULL Widget
FULL Woo
FULL Pop-up
FULL Security
FULL NPS
FULL Update
FULL Social Proof
FULL Analytics
FULL Templates
FULL Creator AI
FULL Backup
FULL Safe Login
FULL SMTP
FULL Monitor
FULL Speed
FULL Cache
FULL Whitelabel
