◇ いうほど漏れて困るか？

という質問については、あくまで私個人としては「はい」と答えます。author=1などの古典的アカウント名奪取方法が制限されていながら、ユーザー一覧を閲覧制限しない理由はなんでしょうか？Basic認証で制限していたとしても、その制限をブルートフォースアタックされない保証はありますか？という答えになります。私が攻撃する側に回れば、この情報を元にメールアドレスの特定、未公開記事の取得など様々な用途の攻撃に使うでしょう。

◇ 結局どこまで塞げばいいの？

　参考のソースコードは幅広く募る形で制限可能です。管理者としてログイン中のユーザーは影響を受けない仕組みになっているので、不安であればv2/wpで一括制限もありですし、ある程度動作を把握しているならそれぞれでふさいでください。とりあえずusersは制限対象に入れたほうが良いでしょう。

◇ これって問題？

WordPressの仕様なので問題ではないでしょう。