Her zaman derim wpde xmlrpc kapatın yoksa bu dosya üzerinden user pass atakları yapıyorlar ve wp admin için aldığınız captcha two factor vs güvenlik önlemleri burada geçersiz kalıyor o yüzden kapatmadığınız sürece istedikleri kadar deneme yapabilirler.

https://xmlrpc.eritreo.it/

Buradan kontrol edebilirsiniz.