El archivo XMLRPC sirve para que una aplicación externa se pueda comunicar con nuestro WordPress, por ejemplo, una de estas aplicaciones puede ser cualquier app móvil que tenga conexión con la administración de WordPress.
Mientras que XMLRPC este activo, los atacantes pueden analizar el sitio web y comprobar que el servicio es accesible, por lo que pueden realizar ataques como ataques de fuerza bruta y denegación de servicio mediante Pingback.
Para bloquear la lectura del fichero xmlrpc.php añade estas líneas al fichero .htaccess:
# bloquear xmlrpc.php
<Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files>