… ist das Ignorieren von Updates.
Hier spielt es keine Rolle, ob es sich um den WordPress Core (also das Basissystem), Plugins oder Themes handelt. Updates bringen nicht nur neue Funktionen oder Verbesserungen, sondern stopfen häufig Sicherheitslöcher. Sicherheitslöcher, über die nicht nur Webseiten sondern ganze Webserver gekapert werden können. Und selbst wenn nicht der Ernstfall eintritt, können vernachlässigte Aktualisierungen dazu führen, dass die Webseite nicht mehr funktioniert bzw. nicht mehr erreichbar ist. In den meisten Fällen muss dann auch wieder ein Profi ran und die Geschichte wieder zum Laufen bringen. Oft wird das Argument „Das ist aber Aufwand und kostet mich Zeit“ vorgebracht. Auch wird gern auf die „Aber ich habe ein Sicherheitsplugin installiert, ich brauche keine Updates“ Ausrede zurückgegriffen. Beide Argumente sind purer Unsinn und gefährlich. Der sicherste Schutz für eine WordPress Webseite sind immer noch starke Benutzer-Passwörter und ein aktuell gehaltenes System (und getrennte Benutzer auf dem Server plus die entsprechenden Berechtigungen, aber das würde jetzt hier zu weit führen).
Die „Ich habe keine Zeit“ Ausrede ist Bequemlichkeit, denn die Schadensbeseitigung bei einer gehackten Webseite ist weitaus aufwendiger als das routinemäßige Sichten und Einspielen der Updates. Vom Rankingverlust bei Google und Co. ganz zu schweigen.
Sicherheitsplugins sind halt auch nur wirklich effektiv (falls sie überhaupt zu etwas nütze sind), wenn sie auf einem aktuellen System arbeiten. Und einen Großteil der Einbrüche können diese Plugins gar nicht abwehren, weil der Feind in Form eines veralteten oder schlecht programmierten Plugins/Themes in den eigenen Reihen sitzt.
Daher noch einmal meine Bitte an alle Anfänger und semiprofessionellen Webseitenbetreiber: achtet auf die Updates und spielt die zeitnah ein. Es gibt mittlerweile eine Vielzahl von Lösungen auf dem Markt, mit denen ihr quasi ferngesteuert eure WordPress Installationen überwachen und/oder die Aktualisierungen automatisieren könnt. Dazu haben sich einige Anbieter auf das „betreute“ Hosting von WordPress Webseiten spezialisiert. Die kosten zwar etwas mehr Geld als ein Feld-, Wald- und Wiesen-Hoster aber nehmen euch dafür „lästige“ Aufgaben ab.