Con l'attuale API di WordPress puoi ottenere un elenco di nomi utente e indirizzi email di tutti gli utenti del sistema senza alcuno sforzo:
<url>/wp-json/wp/v2/users
Emette qualcosa come:
[{
"id":1,
"name":"admin",
"url":"",
"description":"",
"link":"http:\/\/...\/author\/admin\/",
"slug":"admin",
"avatar_urls":{
"24":"http:\/\/1.gravatar.com\/avatar\/...",
"48":"http:\/\/1.gravatar.com\/avatar\/...",
"96":"http:\/\/1.gravatar.com\/avatar\/..."
},
"meta":[
],
"_links":{
"self":[
{
"href":"http:\/\/.../wp-json\/wp\/v2\/users\/1"
}
],
"collection":[
{
"href":"http:\/\/..."
}
]
}
},...
Il nome utente e l'ID sono immediatamente visibili. Non vedo come questo sia qualcosa di diverso da una chiara vulnerabilità di enumerazione degli utenti.