Hallo Frank,
wieder vielen Dank für die Tipps. Für das XSS Problem habe ich eine extra Funktion eingebaut, die solche gefährlichen Zeichenketten rausfiltert :-)
Mittlerweile konnte ich das Problem einkreisen. Irgendwie ist es mir nicht möglich die $title Variable in die header.php zu übergeben. Nach einer Weile Google fand ich Lösungen, die schon anderen geholfen haben:
http://wordpress.org/support/topic/pass-variables-from-templates-into-header?replies=6
http://wordpress.org/support/topic/passing-value-through-get_header-to-headerphp?replies=9
Bei mir klappt es aber trotzdem nicht. Vielleicht lässt es die aktuelle Wordpress Version nicht mehr zu. Ich stehe vor einem Rätsel, aber bleibe dran!