I migliori plugin di backup per WordPress nel 2026: confronto e best practice
Quali plugin di backup WordPress scegliere nel 2026: UpdraftPlus, BlogVault, Solid Backups, Duplicator, BackWPup, VaultPress, All-in-One WP Migration. Affidabilità ripristini, prezzi, errori da evitare.
Scegliere il miglior plugin backup WordPress nel 2026 non è una questione di feature in scheda tecnica, ma di affidabilità nel ripristino. Ogni mese riceviamo richieste di emergenza da siti che pensavano di avere un backup funzionante e si trovano con archivi corrotti, dump SQL incompleti o credenziali cloud scadute da mesi senza che nessuno se ne accorgesse. Questo confronto nasce da quelle esperienze: non recensiamo solo le funzionalità, ma valutiamo i sette plugin più diffusi sulla base di ciò che davvero conta quando il sito è giù alle tre di notte.
In sintesi: qual è il miglior plugin backup?
Non esiste un vincitore unico, ma una scelta ragionata per contesto:
- Per la maggior parte dei siti WordPress: UpdraftPlus Premium resta la scelta più equilibrata fra prezzo, affidabilità e supporto destinazioni offsite.
- Per WooCommerce ad alto volume di ordini: Jetpack VaultPress Backup, real-time, è l'unica risposta seria.
- Per agenzie con molti siti: BlogVault gestisce il parco siti da una dashboard centralizzata e ha la più alta success rate sui ripristini reali che abbiamo testato.
- Per migrazioni e cloni di staging: Duplicator Pro non ha rivali sulla flessibilità del package.
- Per progetti enterprise o multisite complessi: Solid Backups offre l'integrazione più ordinata con il resto della suite StellarWP.
Il resto dell'articolo spiega perché, e soprattutto come evitare gli errori che vediamo ogni settimana sui siti che ci arrivano in bonifica.
Come abbiamo scelto
I criteri che pesano davvero non sono quelli pubblicizzati sulle landing dei plugin. Sono questi:
- Success rate del ripristino: percentuale di backup che, presi a campione, si ripristinano senza errori in un ambiente pulito.
- Supporto destinazioni offsite: object storage S3-compatible (AWS S3, Backblaze B2, Cloudflare R2), Google Drive, Dropbox, OneDrive, FTP/SFTP. Niente storage = niente backup serio.
- Gestione siti grandi: sopra i 5 GB molti plugin gratuiti collassano. Serve chunking corretto, gestione memoria PHP, ripresa dopo timeout.
- Ripristino selettivo: poter ripristinare solo file, solo database, o singole tabelle è essenziale per recovery chirurgici.
- Backup incrementale: indispensabile per siti dinamici e WooCommerce.
- Frequenza configurabile: oraria, real-time o sub-oraria per shop ad alto volume.
- Verifica integrità: hash, checksum o test automatici post-backup. Se il plugin non verifica, lo stai facendo tu o nessuno lo sta facendo.
Tabella comparativa
| Plugin | Prezzo annuo | Free disponibile | Cloud destinations | Verdetto |
|---|---|---|---|---|
| UpdraftPlus | $70 Premium | Sì (limitata) | 13+ inclusi S3, GDrive, Dropbox, B2 | Standard di mercato, equilibrato |
| BlogVault | $89 base | No (trial 7 gg) | Storage proprietario offsite | Massima reliability ripristini |
| Solid Backups | $99 base | No | S3, GDrive, Dropbox, FTP, Stash | Solido, integrato in suite Solid |
| Duplicator | $49.50 Pro | Sì (Lite) | S3, GDrive, Dropbox, OneDrive, FTP | Re indiscusso delle migrazioni |
| BackWPup | $69 Pro | Sì (completa) | S3, Azure, Rackspace, Dropbox, FTP | Storage flessibile, curva ripida |
| Jetpack VaultPress | $59.40 ($4.95/mese) | No | Storage Automattic | Real-time per WooCommerce |
| All-in-One WP Migration | $69 Unlimited | Sì (sotto 512 MB) | Add-on per cloud | Migrazioni veloci, limite size free |
UpdraftPlus
Con oltre tre milioni di installazioni attive, UpdraftPlus è il riferimento del mercato. La versione gratuita copre i casi base: backup completi schedulati, destinazione cloud singola, ripristino guidato. La Premium a $70 all'anno aggiunge incrementali, multi-destinazione, cifratura del database, clone temporaneo e UpdraftVault come storage opzionale.
Cosa funziona davvero bene: l'interfaccia di ripristino è pulita, l'integrazione con le destinazioni S3-compatible è stabile e la community è grande, quindi su Stack Overflow trovi risposta a quasi qualsiasi errore. Il punto debole è la gestione di siti molto grandi, sopra i 10 GB: senza un tuning attento di WP_MEMORY_LIMIT, max_execution_time e dei chunk size, i backup si frammentano in modo poco prevedibile.
Lo consigliamo come scelta predefinita per la maggioranza dei siti vetrina, blog editoriali e piccoli e-commerce, a patto di abbinarlo a una destinazione object storage offsite e di testare il ripristino almeno una volta a trimestre.
BlogVault
BlogVault ha un approccio diverso: storage proprietario incluso nel canone, backup incrementali nativi, dashboard centralizzata multi-sito. Il prezzo parte da $89 all'anno per singolo sito ed è verticale sull'affidabilità del ripristino: i loro test interni dichiarano un tasso di successo superiore al 99,9% e, sui siti che abbiamo migrato in emergenza, è effettivamente il plugin con il minor numero di archivi corrotti che abbiamo visto.
Pro: ripristino in staging con un click, gestione automatica del lock cron, indipendenza dalle risorse del server perché l'elaborazione avviene off-server. Contro: lo storage non è scelto dall'utente, quindi se la policy aziendale richiede archiviazione su S3 europeo, devi valutare alternative. Inoltre non esiste una versione gratuita.
Per agenzie con un parco siti consistente è la scelta più razionale: la dashboard centralizzata fa risparmiare ore ogni settimana e la separazione fra siti e storage di backup riduce drasticamente il rischio di compromissione incrociata.
Solid Backups (ex BackupBuddy)
Solid Backups è l'erede di BackupBuddy nella nuova suite Solid di StellarWP. A $99 all'anno offre backup completi, database, ripristino selettivo, deployments fra ambienti e Stash come storage proprietario opzionale. La forza è l'integrazione con gli altri prodotti Solid (Security, Central, Affiliate): se gestisci già la sicurezza con quella suite, aggiungere Solid Backups ti dà una console unica.
Tecnicamente il plugin è maturo: gestisce siti grandi meglio di UpdraftPlus base, ha un buon supporto multisite e include la verifica integrità tramite checksum. Il limite percepito è il prezzo, soprattutto per chi non sfrutta il resto della suite. Dal punto di vista del ripristino è affidabile, ma l'esperienza utente nel restore è meno lineare di UpdraftPlus o BlogVault.
Indicato per chi ha già investito nell'ecosistema Solid o per progetti enterprise dove serve una soluzione consolidata e con supporto commerciale strutturato.
Duplicator
Duplicator nasce come tool di migrazione e questo resta il suo punto di forza assoluto. La versione Lite è già potente: crea un package singolo con file e database, generato in pochi click, e permette di clonare un sito su un altro hosting in modo prevedibile. La Pro a partire da $49.50 all'anno aggiunge schedulazioni, destinazioni cloud, migrazione multisite, recovery point e gestione siti grandi con chunking robusto.
Per l'attività quotidiana di backup ricorrenti è meno raffinato di UpdraftPlus o BlogVault: la dashboard è orientata al package, non alla cronologia incrementale, e la gestione delle retention richiede più attenzione manuale. In compenso, quando devi migrare un sito da staging a produzione, da un hosting all'altro, o ricostruire un sito da zero su un nuovo dominio, Duplicator Pro è il plugin più affidabile sul mercato.
Lo consigliamo come tool complementare a un plugin di backup ricorrente, non come sostituto.
BackWPup
BackWPup è il plugin storico della scena tedesca, ora di Inpsyde. Free completo nelle funzionalità base e Pro a partire da $69 all'anno. Il punto distintivo è la flessibilità delle destinazioni: oltre ai classici S3, Dropbox, GDrive, supporta Microsoft Azure, Rackspace Cloud Files, SugarSync e qualunque endpoint S3-compatible custom. Per chi ha esigenze di archiviazione non standard è la scelta più aperta.
La curva di apprendimento è più ripida: la creazione di un job richiede di configurare manualmente tipologia, destinazione, schedule e log. È un plugin pensato per sysadmin più che per blogger. La gestione di siti molto grandi è solida purché si configuri correttamente il metodo CRON di sistema invece del WP-Cron interno.
Indicato per realtà tecniche che vogliono controllo granulare e archiviazione su provider non mainstream, o per chi gestisce backup come parte di una pipeline DevOps più ampia.
Jetpack VaultPress Backup
VaultPress, integrato in Jetpack ma acquistabile come prodotto standalone a $4.95 al mese, è l'unico plugin sulla nostra lista con backup real-time nativo. Ogni modifica al database, ogni nuovo ordine WooCommerce, ogni commento o aggiornamento pagina viene archiviato istantaneamente sui server Automattic. Non è un backup orario o giornaliero, è un journal continuo.
Per uno shop WooCommerce che processa centinaia di ordini al giorno questo cambia tutto: in caso di disastro, la perdita dati è limitata ai secondi precedenti l'incidente, non alle ore o ai giorni. Lo storage è incluso, la dashboard di restore è fra le più chiare sul mercato e l'attivazione richiede pochi minuti.
Limiti: dipendenza dall'ecosistema Automattic, storage non scelto dall'utente, prezzo che cresce sui siti grandi. Per blog e siti vetrina è eccessivo. Per WooCommerce ad alto volume è la scelta più sensata.
All-in-One WP Migration
All-in-One WP Migration è specializzato nella migrazione one-shot. La versione gratuita esporta e importa l'intero sito in un singolo file, con un limite di 512 MB sull'import. Le estensioni premium rimuovono il limite ($69 una tantum per la Unlimited Extension) e aggiungono destinazioni cloud (Dropbox, Google Drive, OneDrive, S3, FTP) come add-on separati.
Il pregio è la semplicità totale: anche un cliente non tecnico riesce a esportare e reimportare un sito senza errori. È diventato lo standard de facto fra i freelancer per consegne progetto. Il limite, ai fini del backup ricorrente, è proprio la natura monolitica: un singolo file può diventare ingestibile sopra i 2 GB e non esiste nativamente backup incrementale.
Lo includiamo perché è onnipresente nei progetti WordPress, ma per il backup ricorrente di un sito in produzione consigliamo altre soluzioni.
Tabella feature matrix
| Feature | UpdraftPlus | BlogVault | Solid Backups | Duplicator | BackWPup | VaultPress | AIO WP Migration |
|---|---|---|---|---|---|---|---|
| AWS S3 | Sì | Tramite proprio | Sì | Sì | Sì | No (interno) | Add-on |
| Google Drive | Sì | No | Sì | Sì | Sì | No | Add-on |
| Dropbox | Sì | No | Sì | Sì | Sì | No | Add-on |
| Backblaze B2 | Sì (Premium) | No | No | No | Sì | No | No |
| Cloudflare R2 | Sì (S3 API) | No | Sì (S3 API) | Sì (S3 API) | Sì (S3 API) | No | Sì (S3 API) |
| FTP/SFTP | Sì | No | Sì | Sì | Sì | No | Add-on |
| OneDrive | Sì (Premium) | No | No | Sì | No | No | Add-on |
| Backup incrementale | Sì (Premium) | Sì | Limitato | No | No | Sì (real-time) | No |
| Backup real-time | No | No | No | No | No | Sì | No |
| Selective restore | Sì | Sì | Sì | Limitato | Sì | Sì | No |
| Migration tool | Sì (Premium) | Sì | Sì | Sì (eccellente) | Limitato | Sì | Sì (eccellente) |
| Multisite | Sì (Premium) | Sì | Sì | Sì (Pro) | Sì (Pro) | Sì | Sì |
| Cifratura | Sì (Premium) | Sì | Sì | Sì (Pro) | Sì (Pro) | Sì | Sì (Pro) |
| Schedule custom | Sì | Sì | Sì | Sì (Pro) | Sì | Real-time | No |
| Email reports | Sì | Sì | Sì | Sì | Sì | Sì | No |
Strategia 3-2-1 e perché un plugin solo non basta
La regola 3-2-1 è il riferimento universale per il backup, anche oltre WordPress: tre copie dei dati, su due supporti diversi, di cui una offsite. Tradotto in WordPress significa: il sito di produzione, una copia gestita dal plugin di backup su storage cloud (S3, B2, R2 o equivalente), e una seconda copia indipendente, idealmente snapshot dell'hosting o backup gestito a livello server.
La nostra raccomandazione operativa è semplice. Primo livello: plugin WordPress (UpdraftPlus, BlogVault o equivalente) con destinazione object storage gestita. Secondo livello: snapshot a livello hosting o macchina, possibilmente immutabile, con retention di almeno trenta giorni. Terzo livello: copia mensile esportata fuori dall'infrastruttura quotidiana, ad esempio scaricata su un NAS aziendale o su uno storage offline.
Approfondiamo la parte object storage e le configurazioni S3, B2, R2 nell'articolo dedicato a object storage per backup WordPress.
Verdetto per use case
Sito vetrina (brochure, fino a 1 GB): UpdraftPlus free con destinazione Google Drive personale è già sufficiente, a patto di testare il ripristino due volte all'anno. Se il sito genera fatturato indiretto, UpdraftPlus Premium con S3 o B2 offsite.
Blog editoriale a media frequenza: UpdraftPlus Premium o BlogVault. Schedulazione giornaliera, retention quattordici giorni, destinazione cloud cifrata.
WooCommerce ad alto volume di ordini: Jetpack VaultPress Backup, senza alternative. Il real-time è l'unica garanzia che un crash non perda ordini in corso. Eventualmente affiancato da uno snapshot hosting come secondo livello.
Multisite complesso: Solid Backups o BlogVault. Entrambi gestiscono il network in modo nativo, evitando i workaround necessari con UpdraftPlus.
Agenzia con decine di siti gestiti: BlogVault o ManageWP equivalente. La dashboard centralizzata e la gestione cron off-server cambiano radicalmente l'efficienza operativa.
Sviluppo, staging, migrazioni: Duplicator Pro come tool dedicato, in affiancamento al plugin di backup ricorrente. Per le procedure di staging vedi staging WordPress in bonifica malware.
Errori che vediamo nei backup dei siti che gestiamo
Questi non sono scenari teorici. Sono i pattern reali che troviamo settimanalmente quando un cliente arriva in emergenza pensando di avere un backup utilizzabile.
1. Backup salvato sullo stesso hosting. L'errore più frequente. Il plugin esporta in wp-content/uploads/backups/ o in una cartella dell'account FTP e si ferma lì. Quando un attacco compromette l'hosting, compromette anche i backup. Backup deve significare sempre offsite.
2. Storage scaduto o cancellato senza alert. Account Google Drive personale del titolare che cambia password, carta di credito scaduta sul piano Backblaze, bucket S3 svuotato perché qualcuno ha pensato fossero file vecchi. Se non c'è monitoraggio attivo della destinazione, il backup smette di funzionare in silenzio.
3. Mai testato un ripristino reale. Un backup non è un backup finché non è stato ripristinato con successo almeno una volta. Vediamo backup tecnicamente integri ma con database in collation incompatibile, file owner sbagliati, simbolic link che si rompono in restore. Si scopre solo provando.
4. Email di notifica disabilitate o filtrate. I report dei plugin finiscono in spam, vengono silenziati per non disturbare, o l'indirizzo email del destinatario non esiste più. Il plugin segnala fallimenti per mesi, nessuno legge.
5. Tabelle pesanti escluse "per velocità". L'utente o lo sviluppatore precedente ha escluso wp_postmeta, wp_options o le tabelle WooCommerce per accelerare il backup. Risultato: il dump SQL è completo ma inutilizzabile, mancano i metadati che tengono insieme il sito.
6. Cron lock su backup grandi che non finiscono mai. Il plugin avvia un job, va in timeout PHP, lascia un lock file, il job successivo non parte. Per settimane il sito risulta "in backup" ma il backup non viene mai completato. Soluzione: WP-Cron disabilitato e cron di sistema, oppure plugin off-server come BlogVault.
7. Chiavi API in chiaro nel database. Token S3, credenziali Dropbox, password SFTP salvate in wp_options senza cifratura. Una compromissione del database espone tutte le destinazioni di backup, comprese quelle che pensavi sicure. Verifica sempre come il plugin salva i secret.
8. Backup cifrato senza chiave salvata fuori dal sito. L'utente attiva la cifratura del backup, salva la passphrase nelle impostazioni del plugin. Sito compromesso, plugin reinstallato in restore, passphrase persa, backup inutilizzabile. La chiave di cifratura va custodita in un password manager esterno, non nel sito.
Questi pattern sono parte del lavoro quotidiano di un servizio di manutenzione WordPress per aziende, insieme a tutti gli altri controlli che evitano la chiamata di emergenza.
Domande frequenti
Quale plugin backup gratuito è migliore?
UpdraftPlus free è la scelta più equilibrata per la maggioranza dei siti: gestisce destinazioni cloud nelle versioni base, ha una community ampia e una procedura di restore chiara. Per migrazioni occasionali, Duplicator Lite o All-in-One WP Migration sotto i 512 MB sono alternative valide. BackWPup free è la più completa in assoluto come feature, ma richiede competenze sysadmin.
UpdraftPlus o BlogVault?
UpdraftPlus se vuoi controllo sulla destinazione cloud (S3, B2, R2 di tua scelta) e prezzo contenuto. BlogVault se gestisci più siti, vuoi storage incluso, ripristino in staging con un click e la massima affidabilità sui restore. Per un singolo sito vetrina UpdraftPlus è sufficiente. Per un'agenzia o un sito mission-critical, BlogVault paga la differenza.
Ogni quanto fare backup WordPress?
Dipende dalla frequenza di aggiornamento dei contenuti. Sito vetrina statico: settimanale. Blog con pubblicazioni regolari: giornaliero. WooCommerce con ordini quotidiani: orario o real-time. La regola operativa è semplice: la frequenza di backup deve essere proporzionale al massimo dato che sei disposto a perdere in caso di disastro.
Dove salvare i backup WordPress?
Mai sullo stesso hosting del sito. Le destinazioni più affidabili sono object storage S3-compatible: AWS S3, Backblaze B2, Cloudflare R2, Wasabi. Per progetti piccoli, Google Drive o Dropbox dedicati al backup sono un compromesso accettabile, purché l'account non sia condiviso con dati personali del titolare.
Il backup dell'hosting basta?
No. Il backup hosting è un secondo livello utile, ma ha limiti gravi: retention spesso breve (sette giorni o meno), accesso non sempre garantito in caso di sospensione account, granularità ridotta. Affidarsi solo allo snapshot hosting significa avere una sola copia, controllata da un solo soggetto, che in molti casi non puoi nemmeno scaricare. Va sempre affiancato a un backup gestito.
Come testare un backup?
Crea un sito di staging o un'installazione locale pulita, scarica il backup completo (file + database), eseguine il restore seguendo la procedura del plugin, verifica che il sito carichi senza errori, controlla login admin, area utente, eventuali endpoint API e checkout WooCommerce. Documenta il tempo necessario al restore: è il tuo Recovery Time Objective reale, non quello teorico.
Quanto spazio serve per i backup?
Stima minima: dimensione del sito attuale moltiplicata per il numero di copie storiche da mantenere. Con backup giornalieri e retention trenta giorni, serve circa trenta volte la dimensione del sito. Con incrementali, si scende a tre o quattro volte. Sotto i 100 GB totali, B2 e R2 costano pochi euro al mese.
Backup incrementale vs completo: differenza?
Il backup completo archivia ogni volta tutto il sito. L'incrementale archivia solo le modifiche rispetto all'ultimo backup. Il completo è più semplice da ripristinare ma pesante in storage e tempo. L'incrementale è più efficiente ma richiede una catena integra di backup precedenti per ricostruire lo stato corrente. Per siti sopra i 5 GB l'incrementale è praticamente obbligatorio. Per approfondimenti tecnici sul ciclo di backup vedi anche la documentazione di WordPress core testing e Duplicator.
Manutenzione WordPress fatta bene
Un plugin di backup ben configurato è una componente di un piano di manutenzione più ampio: aggiornamenti controllati, monitoring uptime, hardening, log review, test di restore periodici. Sono tutte attività che richiedono tempo e disciplina, e sono il motivo per cui esiste il nostro servizio di manutenzione WordPress. Se vuoi che backup, ripristini di prova, monitoring e patching siano gestiti da un team che lo fa di mestiere, parliamone.
Scritto dal team WPsec
Team WPsec.it
Bonifica malware, hardening, performance e manutenzione WordPress.
Continua a leggere
Articoli correlati.
Aggiornare plugin WordPress senza rompere il sito
Metodo pratico per aggiornare plugin, temi e core WordPress con backup, staging, test funzionali e rollback.
Backup WordPress su object storage: perché è più sicuro
Un backup sullo stesso hosting non basta. Ecco perché usare object storage, retention, test di ripristino e copie separate dal sito.
Manutenzione WordPress per aziende: cosa deve includere
Una manutenzione WordPress professionale deve coprire aggiornamenti, backup, sicurezza, performance, report, test e responsabilità operative.