Sieć jest pełna botów, zarówno dobrych jak i tych złych.
Te złe boty korzystają z funkcji WP której nie używasz a może nawet nie wiesz o jej istnieniu, mowa o XML-RPC. Protokół ten daje możliwość komunikacji z innymi aplikacjami, niestety jest częściej nadużywany niż użytkowany zgodnie z przeznaczeniem.
Boty potrafią spamować link /xmlrpc.php do niej zwiększając obciążenie a może nawet dokonując włamania i zainstalowania szkodliwego oprogramowania.
Aby ją wyłączyć wystarczy do pliku .htaccess dodać taki wpis:
order deny,allow
deny from all
WordPress używa standardowo takiego pliku .htaccess:
# BEGIN WordPress
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
# END WordPress
Tak więc nasz bezpieczny i kompletny .htaccess będzie wyglądać tak:
# BEGIN WordPress
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
order deny,allow
deny from all
# END WordPress
Źródło: http://www.wpbeginner.com/plugins/how-to-disable-xml-rpc-in-wordpress/