Debido a los últimos ataques con los que me he encontrado hacia otros dominios he visto lo fácil que es usar WP para realizar un ataque DDoS a otras paginas.
Por ese mismo motivo lo primero que recomiendo es protegernos para no formar parte de esos ataques, ya que aunque sin quererlo o si pretenderlo estamos dejando la puerta abierta para fastidiar aun tercero.
Buscando por los plugins oficiales de WP he encontrado es:
https://es.wordpress.org/plugins/ip-geo-block/
Lo que hace es bloquear la administración / comentarios / xmlrpc / … para todo el mundo excepto países que le digas. Devuelve directamente un 403.
Con esto lo que consigues es que no puedan hacer fuerza bruta para intentar sacarte las contraseñas y que no puedan usar el xmlrpc para ataques ddos, además de evitar que saturen su servidor y te tumben la web a ti.
Es muy fácil de configurar, la primera vez que accedes autodetecta tu IP de que país es y lo marca en la lista blanca, además no es necesario que tengas o que administres ninguna BBDD de geoip, ya que el solito las descarga y las actualiza una vez al mes.