Sebastian
Schmuttermaier.

WordPress Backup erstellen

WordPress Backup erstellen

Nachdem ich hier bereits einen kurzen Artikel über die Sicherheit des Adminbereichs von WordPress geschrieben habe folgt nun noch ein Artikel über das Backup der WordPress Installation.

Nicht nur Steve Jobs wusste, das die einfachsten und simplesten Dingen oftmals die Besten sind. Getreu diesem Grundsatz stelle ich euch mein WordPress Backup vor. Keep it simple, stupid (das KISS Prinzip)  😀

Backup Strategie entwickeln!

Am Anfang steht man auf der grünen Wiese und weiss nicht so recht wie und wo man anfangen soll. Das Plugin ist installiert und nun geht es an dessen Einrichtung. Wichtig ist das man Überblick über die eigenen Dateien behält. Auch sollte man Grundwissen über WordPress und dessen Datenhaltung haben.

Was muss / sollte alles gesichert werden?

Zunächst muss man sich darüber klar werden was eigentlich alles gesichert werden soll. Bei WordPress handelt es sich schon um zwei verschiedene Quellen. Zunächst brauchen wir alle Dateien aus dem WordPress Verzeichnis. Das ist aber nur die Hälfte der Miete! WordPress speichert alle Beiträge, Seiten und Kommentare sowie seine eigenen Einstellungen in einer MySQL Datenbank. Ohne diese Datenbank ist ein Restore (Wiederherstellung) unmöglich!

Wohin werden die Daten gespeichert?

Ein Backup macht nur so lange Sinn wie es die gesicherten Daten „ortsfremd“ sichert. Das heist das die Backupdaten nicht auf dem gleichen Systemen aufbewahrt werden wie die Nutzdaten. Im Fall von WordPress heist das, das die Backupdaten entweder in die Cloud (Dropbox, Amazon S3, etc.) oder auf einem anderen Server (rSync, Samba, etc.) gesichert werden. Nur dann ist im Falle eines Komplettverlustes auch eine Wiederherstellung möglich.

Wie lange bewahre ich die Daten auf, wie oft werden diese überschrieben?

Bei dieser Überlegung geht es um die sogenannte Retention Time. Dahinter steht die Überlegung wie lange man historische Backups aufhebt bevor diese gelöscht bzw. überschrieben werden. Da sich auf meiner Seite nicht täglich etwas ändert habe ich mich für 14 Tage als Zeitrahmen entschieden. Somit erstelle ich wöchentlich ein volles Backup und hebe dieses 2 Wochen auf. Somit befinden sich immer zwei komplette Vollsicherung auf meinen Festplatten (bzw. Dropbox). Sollte sich die Webseite aus einem Satz nicht wiederherstellen lassen, bleibt mir immer noch ein zweiter Satz.

Der doppelte Boden

Der Einsatz des Backup Plugins ist schon ein großer Schritt in Richtung Datensicherheit. Allerdings muss ich mich dabei auf automatische Systeme verlassen. Und auch wenn mich diese per Mail benachrichtigen bleibt doch ein Gefühl der Unsicherheit. Daher habe ich mich entschieden zusätzlich zum automatischen Backup noch eines per Hand zu erstellen. Das ist zwar zeitaufwändig, aber den Job muss der Rechner erledigen – und nicht ich. Das Backup „doppelter Boden“ ist eine flache 1:1 Kopie des gesamten Webroots per FTP auf meinen Rechner bzw. eine externe Festplatte. Somit habe ich zwar alle Nutzdaten wie Bilder, Panoramen und WordPress. Aber es fehlt das Herz jeder WordPress Installation: die Datenbank. Diese exportiere ich mit phpMyAdmin und sichere sie mit auf die USB Festplatte. Der phpMyAdmin ist genauso verhasst wie vergöttert, aber das ist ein anderes Thema. Für mein Backup tut er genau seine Dienste, und eine Wiederherstellung ist kein Problem.

Meine Lösung des Problems

Ich hab das Plugin UpdraftPlus installiert. Das Plugin lässt sich super konfigurieren und automatisieren. Das heist man kann hervorragend auswählen welche Dateien, auch zusätzlich zur WordPress Installation, ausgewählt und gesichert werden sollen. Auch ist es bereits in der kostenlosen Ausgabe möglich entfernte Ziele wie z.B. Dropbox als Sicherungsziel festzulegen.

Wordpress Plugin Updraft Plus

WordPress Plugin Updraft Plus

Zudem hat man die Möglichkeit sich über alle Aktivitäten des Systems per Mail benachrichtigen zu lassen. Auch gibt es eine gute Übersicht über bereits bestehende Sicherungen:

Wordpress Updraft Plus Backup

WordPress Updraft Plus Backup

WordPress Login absichern

WordPress Login absichern

Wie sichere ich den Adminbereich von WordPress ab?

Schon von Berufs wegen als ITler ist sind mir zwei Dinge schon immer sehr wichtig:

  • Backup, Restore oder allgemein die Sicherheit meiner Daten gegen Beschädigung und Verlust
  • Sicherheit der Anwendungen gegen Diebstahl und unbefugtes Eindringen bzw. Veränderung

Diese beiden Themen treiben mich natürlich auch auf meiner Webseite um. Das Backup und Restore Thema habe ich schon vor einigen Monaten recht gut lösen können, dazu in einem weiteren Beitrag gerne mehr.

Das Sicherheitsthema in WordPress ist schon auf so viele Webseiten durchgekaut worden. Ich möchte euch nur ein meiner Meinung nach geniales Plugin hinweisen das euch hilft den Adminbereich von WordPress zu schützen. Die Sicherheit in WordPress basiert auf vielen kleinen Faktoren. Je mehr ihr von diesen kleinen Faktoren beachtet desto sicherer wird das Gesamtkonzept der Seite. Hier eine kleine Tabelle die euch sicherlich hilft:

  • Tabellenpräfix anpassen. In einer Standardinstallation lautet der Präfix wp_ und sollte auf einen Fantasiewert angepasst werden.
  • Benutzernamen anpassen. Nehmt für die Administrativen Arbeiten nicht den Redakteurszugang mit dem ihr auch Beiträge verfasst. Und nennt den Administrator nicht Administrator. „Administrator“ ist ein Zustand, kein Name!
  • Passwörter möglichst komplex halten. Jaja, da mag ich gar nichts mehr dazu schreiben. Macht bitte vernünftige Passwörter, und bewahrt diese dann nicht unter der Tastatur auf.
  • Aktualisierungen sofort bzw. zeitnah einspielen. Und zwar nicht nur vom WordPress Kernsystem, sondern auch von allen PLugins und Themes. Dass kann man automatisieren – und muss sich dann nur noch prüfend darum kümmern.
  • Keine Dateien aus unklaren Quellen verwenden. Sprich ich würde nur Plugins und Themes verwenden deren Herkunft ich kenne.

Den WordPress Administrator Login Bereich absichern

Als einen weitern Baustein empfiehlt es sich den Login Bereich von WordPress zu sichern. Der Grund und die Vorgehensweise ist recht simpel.

Standardmäßig ist der Login Bereich immer unter der URL http://Domäne.tld/wp-admin zu erreichen. Nun ist es ein leichtes zu versuchen hier eine funktionierende Benutzername:Passwort Kombination zu testen. Gerade wenn der Administrator auch noch Administrator heist steigt die Chance auf 50% das korrekte Passwort zu erraten.

Abhilfe kann hier das Plugin WPS Hide Login schaffen.

WPS-Hide-Login

WPS-Hide-Login

Es verändert die Adresse zum Adminbereich auf einen frei zu wählenden Wert. Dieser kann nach der Installation und Aktivierung von im Adminbereich unter der Rubrik Einstellungen gewählt werden.

WPS-Hide-Login Konfiguration im WordPress Administrator Bereich

WPS-Hide-Login

Nun laufen alle Angriffe auf die Adresse /wp-admin ins Leere.

Besonders gefällt mir die Einfachheit mit der Wirkungsvoll die WordPress Installation geschützt wird, Daumen hoch!