O ataque WPS que eu conheço foi baseado no método PIN, e em alguns roteadores não foi possível desativá-lo e o roteador não limitou as tentativas e através de uma técnica, seria necessário apenas cerca de 10.000 tentativas.
Como o método push-button do WPS não é per se inseguro (somente se um invasor tentar se conectar depois de pressionar o botão e antes de você fazer isso), não há nada com que se preocupar, mesmo quando estiver habilitado ( Isto é, o WPS está habilitado, mas não entra em vigor até você apertar o botão).