Fremder Administrator-Account registriert

Ich bekam gerade eine E-Mail, dass sich auf meinem Blog ein neuer Administrator registriert hat. Verständlicherweise war ich ziemlich erschrocken – denn ich habe die Registrierung sogar für normale User deaktiviert. Wie ist das möglich?

Da ich es sofort bemerkt habe, habe ich den Account direkt löschen können. Vor dessen E-Mail Adresse trollherten@mail.com wird im Netz schon gewarnt (seit heute). Dann bin ich Checklisten für die Sicherheit durchgegangen, die hier im Forum empfohlen wurden. Allerdings kann ich bisher keine Sicherheitslücke finden. Meine WordPress Version war auf dem aktuellen Stand, ich habe ein sicheres Passwort verwendet (wurde natürlich trotzdem direkt geändert), die Plugins habe ich direkt von wordpress.org heruntergeladen und mein PC sollte eigentlich auch geschützt sein. Ich habe über FTP kontrolliert, ob in letzter Zeit Dateien verändert wurden, z.B. beim Theme – aber auch das war nicht der Fall. Jetzt bin ich ratlos, und möchte natürlich nicht, dass es noch mal passiert. Wo kann die Lücke noch sein?

Die Seite, für die ich Hilfe brauche: [Anmelden, um den Link zu sehen]