Sőt, gyakran a szivárogtatások/hazatelefonálások frontend oldalról mennek, a kliens böngészőjéből valami berántott 3rd party js-en keresztül. Ezeket kivédeni elég nehéz, bele kell mélyedni a CORS policy-k lelkivlágába. Mindenesetre egy F12-t megér a böngészőben kicsit megnézegetni, hogy miket és honnan szedeget össze. Esetleg plugin telepítés előtt-utáni állapotot összehasonlítani.
(Disclaimer: nem adminoltam sosem WP-t, tapasztalatok máshonnan valók - amint lejjebb olvasom a usernév leakelésnek megvan a konkrét oka)