¿Cuántos backups debo guardar de mi WordPress?

La regla práctica del estándar 3-2-1 funciona para la mayoría de empresas: 3 copias del sitio (la versión productiva en el servidor más dos respaldos), en 2 medios o servicios distintos (por ejemplo: un backup en el hosting y otro en almacenamiento externo tipo S3, Backblaze B2 o Google Drive empresarial), con al menos 1 copia fuera de las instalaciones del proveedor principal. Para retención, 30 días rotativos cubre la mayoría de incidentes operativos; para cumplir Habeas Data, conviene mantener al menos un backup mensual archivado durante 12 meses para reconstruir el rastro de tratamiento si la SIC lo requiere durante una inspección.

¿Dónde debo guardar los backups para cumplir con Habeas Data?

La Ley 1581 y el Decreto 1377/2013 no obligan a almacenar dentro de Colombia, pero sí exigen que el responsable del tratamiento garantice el principio de seguridad (artículo 4, literal g). En la práctica, esto significa elegir un proveedor con cifrado en reposo (AES-256), cifrado en tránsito (TLS 1.2+), control de accesos, registro de auditoría e idealmente certificaciones reconocidas (ISO 27001, SOC 2). Servicios cloud como AWS, Google Cloud, Azure y proveedores especializados como BlogVault o Jetpack VaultPress cumplen estos requisitos. Almacenar el backup en el mismo servidor del sitio no es backup y no satisface el deber de seguridad.

¿Cada cuánto debo hacer backup de mi WordPress?

La frecuencia depende de cuánto contenido nuevo o cuántos datos personales se incorporan al sitio entre backups. Para un sitio institucional estático con cambios mensuales, un backup semanal es razonable. Para un blog activo con publicación diaria, un backup diario es el mínimo. Para un e-commerce o cualquier sitio que reciba formularios con datos personales (clientes, pacientes, leads), el backup debe ser diario y la base de datos preferentemente en backup incremental cada 6 a 12 horas. Si pierdes 24 horas de datos personales recogidos, tu RPO es de 24 horas — y eso debe estar documentado en tu política de tratamiento.

¿Qué pasa si pierdo el backup y la SIC me audita?

La pérdida del backup en sí no es la infracción; la infracción es no haber implementado medidas razonables para proteger los datos personales bajo tu responsabilidad. Si la SIC inicia una investigación tras un incidente, va a pedir evidencia de la política de respaldos, los registros de ejecución de backups, las pruebas de restauración y el análisis de impacto del incidente. Sin esa documentación, las multas pueden alcanzar varios miles de SMMLV según la gravedad del caso. Tener backups documentados y probados es la diferencia entre una sanción atenuada y una sanción agravada.

¿Los backups WordPress también cumplen con RGPD si tengo clientes en Europa?

Parcialmente. El RGPD (Reglamento General de Protección de Datos de la UE) exige los mismos principios de seguridad e integridad, pero añade dos obligaciones que la Ley 1581 colombiana trata de forma menos explícita: el derecho al olvido (artículo 17) y la portabilidad de datos (artículo 20). Eso significa que tu política de backups debe contemplar mecanismos para borrar o anonimizar datos de un titular en todas las copias dentro del plazo legal (30 días tras la solicitud), lo que puede ser complejo con backups inmutables. Si tienes clientes europeos, considera backups con índices que permitan localizar y eliminar registros específicos, no solo restauraciones completas.

Backups WordPress y Habeas Data Colombia: guía 2026

Si gestionas un WordPress empresarial en Colombia y todavía no tienes una política documentada de backup WordPress, tienes un problema doble: operativo (un fallo te puede dejar sin sitio durante días) y legal (la Ley 1581 de 2012 te obliga a proteger los datos personales que recoges). Esta guía une las dos caras: cómo montar un plan de respaldos serio y dejarlo listo para una auditoría de la Superintendencia de Industria y Comercio (SIC). Sin alarmismo, con precios reales en USD y con criterio para decidir cuándo el plugin gratuito ya no alcanza.

¿Por qué los backups son una obligación legal en Colombia (no solo una buena práctica)?

En Colombia, los respaldos no son un nice-to-have del área técnica: son una expresión concreta del principio de seguridad que la ley impone al responsable del tratamiento. Si manejas formularios de contacto, registros de clientes, pacientes o leads en tu WordPress, eres responsable jurídico de esos datos. Y la pregunta de la SIC en una auditoría no será “¿tienes backups?” sino “¿cómo lo demuestras?”.

Ley 1581 de 2012 y el deber de seguridad del responsable del tratamiento

La Ley 1581 de 2012 establece en su artículo 4, literal g, el principio de seguridad: el responsable debe manejar la información con medidas técnicas, humanas y administrativas que eviten “adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento”. La pérdida no autorizada incluye la accidental por fallo de hardware, ransomware o error humano. Sin backups, no hay cómo evitarla.

Decreto 1377 de 2013 y la SIC: cómo se audita el cumplimiento

El Decreto 1377 de 2013 reglamenta parcialmente la Ley 1581 y aterriza los deberes del responsable: políticas internas claras, mecanismos para atender derechos de los titulares y, sobre todo, evidencia documental. La SIC no audita la calidad técnica del backup en sentido estricto: audita si implementaste medidas razonables y si puedes acreditarlas. Una política de respaldos firmada, registros de ejecución y pruebas periódicas de restauración cambian el desenlace de una visita.

Multas y costo reputacional por no proteger datos personales

Las sanciones administrativas de la SIC son graduadas según la gravedad, los antecedentes y la reincidencia, y pueden alcanzar varios miles de SMMLV en escenarios severos. Más allá del monto, el costo reputacional suele ser mayor: una resolución sancionatoria de la SIC queda indexada en Google, aparece cuando un prospecto busca tu marca y abre la puerta a denuncias civiles. Un plan de backups no elimina el riesgo de incidente; elimina el agravante de “el responsable no tomó medidas”.

La regla 3-2-1 de backups (y por qué importa para empresas)

La regla 3-2-1 es el estándar mínimo que la industria considera razonable desde hace dos décadas. Si tu plan no la cumple, no es un plan: es un deseo. La buena noticia es que aplicarla en WordPress es asequible incluso para una PyME, y deja un rastro documentable que se traduce directo en evidencia para la SIC.

3 copias, 2 medios distintos, 1 off-site

Tres copias: la versión productiva más dos respaldos completos e independientes. Dos medios distintos: esas copias no comparten infraestructura — un backup en el mismo proveedor de hosting cuenta como un solo medio aunque estén en discos distintos. Una copia off-site vive fuera de las instalaciones del proveedor principal, típicamente en S3, Backblaze B2, Google Drive empresarial o Wasabi. Si el datacenter del hosting se cae o sufre un ataque coordinado, esa copia off-site es la que salva el negocio.

Backup en el mismo servidor no es backup

El error más común: el cliente tiene “backups” porque cPanel o Plesk genera un .tar.gz semanal en el mismo disco del WordPress. Eso es una copia local. Cualquier evento que afecte al servidor — ransomware, root comprometido, fallo de RAID, suspensión por impago — se lleva el sitio y el “backup” en el mismo movimiento. La SIC tampoco acepta esa configuración como medida razonable de seguridad.

RPO y RTO: cuánta pérdida puede tolerar tu negocio

RPO (Recovery Point Objective) es cuántas horas de datos puedes perder. RTO (Recovery Time Objective) es cuánto tiempo puedes estar caído. Un sitio institucional estático tolera RPO de 7 días y RTO de 24 horas. Un e-commerce con 50 pedidos diarios necesita RPO de 1–6 horas y RTO de 2–4 horas. Documentar tu RPO y RTO no es burocracia: define la frecuencia de backup y el presupuesto que se justifica.

Backup WordPress manual vs. automático: criterios honestos

No todo sitio necesita backup automático diario. Pero todo sitio que recoge datos personales sí necesita un proceso predecible y documentado. La diferencia entre manual y automático no es solo de comodidad: es de cumplimiento.

Cuándo el backup manual mensual es suficiente

Si tu WordPress es una landing institucional con cinco páginas, sin formularios, sin e-commerce, sin login, y solo lo actualizas cuando cambias el copy del home, un backup manual mensual antes de cada cambio puede ser razonable. La condición: proceso documentado, copia off-site y prueba de restauración cada trimestre. Si falla alguna, vuelve al automático.

Cuándo necesitas backup automático diario

Cualquier sitio con formularios activos, captura de leads, e-commerce, área de clientes o publicación frecuente necesita backup automático diario. La razón regulatoria es directa: cada formulario enviado entre backups es un dato personal del que eres responsable. Si lo pierdes antes de procesarlo, perdiste evidencia de un tratamiento que tenías obligación de custodiar.

Backup incremental vs. completo

Completo: copia todo cada vez, simple, restaura rápido, consume espacio. Incremental: copia solo lo que cambió, ahorra 70–90 % de espacio, pero la restauración requiere reconstruir la cadena. Regla práctica: bajo 2 GB, completo diario; entre 2 y 20 GB, incremental diario con completo semanal; sobre 20 GB, incremental cada pocas horas con verificación de integridad mensual.

Las 5 herramientas más usadas en 2026 (con precios reales en USD)

Las cinco que cubren el 90 % del mercado WordPress en 2026, con precios oficiales tomados de las páginas de cada producto. Los planes evolucionan, así que verifica antes de comprar; los rangos sirven para comparar.

Herramienta	Precio USD	Almacenamiento	Restauración	Ideal para
UpdraftPlus	Gratis; Premium desde USD 70/año (1 sitio)	Tu propio S3, Drive, Dropbox, Backblaze	Manual desde el panel del plugin	PyMEs con criterio técnico que ya tienen S3 o Drive empresarial
BackWPup	Gratis; Pro desde USD 69/año (1 sitio)	Tu propio S3, Azure, Rackspace, FTP	Manual; restauración Pro mejorada	Sitios donde el equipo controla la infraestructura de almacenamiento
Jetpack VaultPress Backup	Desde USD 4,95/mes (plan anual)	Cloud propio de Jetpack (Automattic)	Un clic, real-time en planes superiores	E-commerce y sitios críticos que valoran simplicidad y soporte
BlogVault	Desde USD 7,40/mes (plan anual)	Cloud propio independiente del hosting	Un clic, staging incluido	Agencias y empresas que quieren backup desacoplado del servidor
ManageWP	Desde USD 2/mes por sitio (add-on backup)	Cloud propio de ManageWP (GoDaddy)	Un clic desde el panel central	Agencias multisite que gestionan 10+ instalaciones

UpdraftPlus y BackWPup ganan en flexibilidad de almacenamiento: tú eliges el destino, lo que ayuda con el principio de seguridad si ya tienes un proveedor cloud certificado. Jetpack y BlogVault ganan en operación: la restauración a un clic reduce drásticamente el RTO. ManageWP es la opción correcta cuando administras varios WordPress.

Restauración: el backup que no probaste no es backup

Esta sección es la que más se salta y la que más se cobra cuando hay incidente. Backup diario que nunca probaste es extintor sin verificar la presión: el día del fuego descubres si funciona, y ya es tarde.

Cómo y cada cuánto probar la restauración

Mensual para sitios críticos, trimestral para sitios estándar. La prueba consiste en restaurar el último backup en staging (la mayoría de hosts decentes lo ofrecen gratis), validar home, área de cliente, formularios y carrito, y dejar registro firmado con fecha, responsable y resultado. Esa bitácora es lo que la SIC pide en auditoría.

Restauración parcial vs. total

Total cuando el sitio entero está comprometido (hackeo masivo, corrupción de base de datos, datacenter caído). Parcial cuando un editor borró por error 30 productos, una actualización rompió un plugin o un atacante modificó solo un archivo del tema. Las herramientas con un clic facilitan la total; la parcial requiere acceso granular (BlogVault, Jetpack y UpdraftPlus Premium lo manejan bien).

Plan de respuesta a incidentes y Habeas Data

Cuando el incidente afecta datos personales, restaurar no basta: la Ley 1581 obliga a notificar a los titulares y, si aplica, a la SIC. Si el incidente es un hackeo activo, antes del restore necesitas contener — ver qué hacer si tu WordPress fue hackeado — porque restaurar sobre infraestructura comprometida solo te deja un sitio nuevo que vuelve a caer en horas.

Política de respaldos para cumplir Habeas Data: qué documentar

La diferencia entre tener backups y poder defenderlos en auditoría es un documento de dos páginas. No necesitas un manual ISO 27001 completo; necesitas un mínimo trazable.

Frecuencia, retención y ubicación: el mínimo documentable

Tu política debe responder con claridad: frecuencia (diario / semanal / por evento), retención (30 días rotativos más uno mensual durante 12 meses es una base razonable), dónde vive cada copia (proveedor, región, cifrado en reposo), quién tiene acceso a las claves y cómo se rota. Tres páginas con esa información valen más que diez páginas de teoría legal.

Responsable interno y evidencia ante la SIC

La política debe nombrar al responsable interno (cargo, no persona, para que sobreviva rotación), al proveedor técnico si los respaldos están tercerizados, y al canal de evidencia (logs, capturas, bitácora). Los backups forman parte de un plan integral — ver la guía de mantenimiento WordPress para empresas — porque la SIC evalúa el programa completo, no piezas sueltas.

Tres niveles de inversión 2026 para tu plan de respaldos

Ordenados por escala, con precios oficiales 2026 verificados en USD:

DIY (USD 0–5/mes). UpdraftPlus o BackWPup en versión gratuita, con destino en Google Drive personal o Backblaze B2 de pago por uso. Funciona para sitios institucionales pequeños sin datos personales sensibles. Requiere disciplina del equipo: nadie automatiza la verificación.
Plan pro (USD 7–15/mo). Jetpack VaultPress, BlogVault o UpdraftPlus Premium con destino S3 dedicado. Restauración a un clic, soporte profesional, logs accesibles. Es el rango correcto para PyMEs con e-commerce, formularios activos o responsabilidad real sobre datos personales.
Empresarial (USD 50+/mo). Plan multisite gestionado, backup incremental cada hora, replicación cross-region, retención extendida, pruebas mensuales de restauración documentadas y respuesta de incidentes integrada. Tiene sentido cuando el sitio mueve facturación de seis o siete cifras o cuando hay obligaciones contractuales con grandes clientes.

Si tu sitio recoge datos personales y todavía estás en el escalón DIY, tu plan no es ahorro: es deuda regulatoria con interés compuesto. Si quieres revisar tu política actual o montar el plan desde cero, habla con Overnatic sobre tu plan de respaldos y cumplimiento y armamos juntos la primera auditoría.