Acabo de empezar a trabajar para una pequeña empresa que tiene un sitio web de Wordpress con cuentas de usuario. Cada cuenta de usuario tiene un nombre de inicio de sesión, un nombre para mostrar, un nombre real, un correo electrónico, una contraseña y el resto.
Busqué y encontré una página que contenía una lista de todos los usuarios registrados (que solo mostraba nombres, pero no información personal), así como un número total de usuarios registrados.
Esto genera una gran señal roja apestosa conmigo, en primer lugar porque la empresa no lo necesita, pero también se siente mal al exponer esta gran cantidad de datos. Sin embargo, no puedo ver de ninguna manera que sea manipulado.
¿Alguien puede decirme si estos datos pueden usarse para llevar a cabo un ataque en el sitio web o un usuario específico?
Gracias