Есть такая тема для дискуссий — что больше подвержено атакам, xmlrpc.php или wp-login.php. Ответ — оба хуже.
Если нет особых обстоятельств, требующих именно этих точек входа и именно в таком виде, на все запросы к ним сервер должен отвечать или 403, или 404, или 301, в зависимости от ваших предпочтений и взглядов на SEO.
Большинство обстоятельств, требующих наличия именно этих точек входа, тоже можно преодолеть. Например, знаменитый JetPack от Automattic, без которого сегодня мало кто обходится, не удастся активизировать без открытого xmlrpc. Но прелесть в том, что после активации его можно насовсем отключить, а JetPack будет продолжать работать.
Отключение стандартных точек входа сразу отсечет абсолютное большинство попыток брутфорса, логи станут чище, жизнь спокойнее.
А как же входить? Смотря кому. Сотрудникам (авторам, редакторам, администраторам) — через служебный вход. Всем остальным (посетителям, подписчикам, клиентам) — в специально для них организованные, красиво оформленные парадные входы, вестибюли, торговые и конференц-залы, кабинеты, откуда нет доступа никуда больше. Все для клиента, кроме того, что не для него.
Оригинал: VK.com