Backups voor Wordpress moet je echt op de server zelf doen.

Even een tar file van de hele boom maken, even een dumpje van de database. Migreren is dan ook simpel want alle urls staan enkel in de database. Dus met een find and replace all knoop je zo alles onder een nieuw domein. Ook een rollback als er een update mis gaat is dan eenvoudiger. Of even een testomgeving in een subdomein opzetten.

De volledige backup en restore functionaliteit zit niet in WP zelf. Plugins om het te doen zijn altijd om geld, maar voor dat geld zit er altijd wel ergens ooit een lek in. Hetzelfde met file manager plugins. Niet gebruiken of enkel in noodgevallen. En dan zo snel mogelijk weer wissen. Voor privacy en security zijn backups net zo een groot risico als de site zelf. Zulke plugins niet gebruiken. Leer hoe je het zelf doet of zoek een WP hosting die het voor je doet.

Plug-ins geven vaak aanleiding tot problemen, vaken dan bij de WP core-code,
die meestal wel goed bijgehouden wordt.

De laatste tijd ook nogal wat Word Press sites aangetroffen met de volgende mogelijk onveilige code.
Voorbeeldje, kwam op meerdere sites met cdn-cgi voor:

Meestal doe je het in plugin voor de klant en niet voor je beheer. Klant uitleg geven om bijvoorbeeld een custom Jetapp backup op server niveau te doen, rsync is velen malen fout gevoeliger dan een plugin die een local copy maakt. En klanten willen nou eenmaal wel eens om de gekste tijden zelf dingen aanpassen en dan is het handig voor beide partijen dat je niet terug hoeft te grijpen op je dagelijkse backups waarbij alle werk tussen in verloren gaat. En we weten allemaal hoe goed de gemiddelde klant is met hun version control en blauwdrukken bijhouden van applicaties.

Qua geld is een plugin vaak veel duurder als oplossing dan een server based oplossing, dus die vlieger gaat niet echt op. Je moet namelijk nog steeds ook storagespace hebben en IO capaciteit. De meeste backup plugins van Wordpress werken uberhaubt niet naar remote storage op de gratis versies of ze hebben expres limieten van onder de 1GB wegschrijven. Daarna als je wel betaald ben je er nog niet wegens dat de plugins te langzaam zijn met wegschrijven omdat ze geen rekening houden met overige plugins en benodigde runtime om vervolgens timeouts te veroorzaken door ontbreken van goede keepalive en je mag hopen dat de plugin uberhaubt correct registreerd dat de back-up is mislukt.

Dat gezegd hebbend als je een goed geschreven plugin hebt die enkel naar een losse folder buiten de Wordpress root mag wegschrijven en niet gebruikt kan worden voor de restore zelf is er weinig aan de hand. Maar meestal willen die plugin makers allemaal installatie opties erbij inzetten en dan gaat het mis. Ik moet zeggen dat ik ook nog nooit van deze plugin had gehoord het heeft maar een installatie basis van 90K gebruikers en dat is echt miniem op Wordpress begrippen.

Maar wel complimenten aan de developers ze hadden binnen 24 uur de patch beschikbaar gesteld doen helaas niet vele hun na. Dat vervolgens de beheerders weer eens liggen te slapen tja..

Mensen moeten websites achter een Cloudflare beveiliging ook beveiligen
en er van uitgaan dat daarop ook malware kan voorkomen.

Vertrouw op G*d, maar hou je website op slot.