Parece que você foi alvo de alguns " Ataque de amplificação por força bruta do WordPress "que, entre outros fatores, depende muito do aplicativo xmlrpc.php que você está mencionando.
Mesmo difícil, eu não sou um especialista em wordpress , quando fui atingido por essas tentativas, percebi que o xmlrpc.php poderia ser bloqueado / removido sem grandes inconvenientes como ... ele é usado somente quando o seu wordpress é "federado" com outros sites wordpress e precisa trocar dados com eles. xmlrpc.php não tem nenhum papel no uso comum de sites wordpress comuns.
Mais uma vez: eu não sou um especialista em wordpress então por favor investigue mais antes de agir e ... no mínimo, você deve ser capaz de escolher cuidadosamente qual IP remoto pode receber acesso HTTP a tal xmlrpc.php