Eu bloquearia o IP com iptables
se fosse eu, e se você tiver esse tipo de acesso no nível do servidor.
Você também pode desabilitar o xmlrpc. Infelizmente, desde que 3.5 a opção de tela de administrador para desativar esse recurso foi removida. No entanto, uma única linha de código deve desativá-lo: add_filter( 'xmlrpc_enabled', '__return_false' );
Isso pode economizar alguma sobrecarga das solicitações, embora não elimine tudo isso.