O Xmlrpc.php pode iniciar o dos para outros domínios, mantendo o seu host como fonte. Você deve remover o xmlrpc.php, alterar o link da página de login ou permitir login para seus poucos IPs conhecidos do .htaccess.
exemplo do wpscan:
[!] O arquivo link 'do WordPress existe expondo um número de versão
[+] Cabeçalho interessante: LINK: link ; link ; rel = shortlink
[+] Cabeçalho interessante: SERVER: Apache
[+] Interface XML-RPC disponível em: link
[+] WordPress versão 4.6.1 (Lançado em 2016-09-07) identificado a partir de impressão digital avançada, meta-gerador, leia-me, links opml, números de folhas de estilo