In letzter Zeit ist aufgefallen, dass Hacker von verschiedenen Websites die Passwortrücksetzung angestoßen und dabei einen gültigen Benutzernamen verwendet haben.
Mit dem Script von dieser Seite wird eigentlich die Ausgabe des Benutzernamens verhindert, aber es gibt mit der JSON-API eine weitere Hintertür.
Die notwendige Anpassung in WordPress ist hier beschrieben.