WordPressに含まれるxmlrpc.phpは、外部からサイトを操作する時に使用される機能です。代わりとなる「REST API」登場してから、あまり使われないようになったものの、互換性の観点から残されています。
一方、セキュリティの観点から利用しないのであれば無効化すべきです。今回は、「.htaccess」を利用した方法を紹介します。
Apache HTTP Server 2.4の場合
すべてのアクセスを拒否する時は、以下を.htaccessファイルに追加する。Apache HTTP Server 2.2とは記述が変わっています。
<Files xmlrpc.php>
Require all denied
</Files>一部のIPアドレスからのアクセスを認めるときは、以下の通り。
<Files xmlrpc.php>
Require ip 192.0.2.1
Require ip 198.51.100.0/24
Require ip 2001:db8::/32
</Files>参考:Apache HTTP Server 2.2の場合(サポート終了済み)
<Files xmlrpc.php>
Order Allow,Deny
Deny from all
</Files>