Richtig. Keines der oben genannten Plugins bietet 100% Schutz gegen das Auslesen der Benutzernamen.
Zum Ermitteln der Benutzernamen hängen die Skripte der Bots einfach /?author=1, /?author=2 usw. an die URL der Startseite, schon steht der Benutzername in der umgewandelten URL.
Als Gegenmittel kann man eine entsprechende RewriteCond und ReWriteRule in die .htaccess packen, um die Angreifer z.B. auf eine 404 zu führen.
Unter Einstellungen > Permalinks gibt es das Feld Kategorie-Basis. Dort trägst Du einfach medien ein.
