Если не используется xmlrpc.php, который отвечает за API движка, то лучше его выключить:
в корне в файле .htaccess добавляем в конце:
<Files xmlrpc.php> Order Deny,Allow Deny from all </Files>
Также можно попросить поисковики не индексировать этот файл. Для этого в файле robots.txt:
Disallow: /xmlrpc.php
Видел на одном сервере, как из-за открытого доступа к этому файлу, падал mysql. Причина была в том, что брутили перебором все возможные запросы и пробивались к базе данных. Процессор не выдерживал и клал mysql. Вопрос конечно был также и к настройкам mysql, но это уже отдельная тема. После блокировки IP, с которого происходит брутфорс и запрещения доступа к данному файлу падения прекратились и клиент был снова счастлив и радовался жизни.
г. Воронеж