En ocasiones, especialmente con el caso del xmlrcp.php, ser reciben muchos ataques, es interesante bloquearlos, en este caso desde el .htaccess, aunque si hay varias páginas en el mismo servidor, se puede insertar la configuración en el fichero apache2.conf, y al reiniciar tendremos en memoria cargada la configuración para todas las webs.
$nano /etc/apache2/apache2.conf
y luego insertar:
<Files xmlrpc.php> order deny,allow deny from all </Files>
Finalmente reiniciar apache
$service apache2 restart
Esta solución me parece más limpia que el uso de plugins para proteger xmlrcp.xml en las diferentes instalaciones en el servidor. Idealmente tendremos copia de seguridad de los ficheros de configuración del servidor.