Es uno de los archivos preferidos que usan para ataques DDoS y para intentar ataques de fuerza bruta. Puedes eliminarlo tranquilamente. Solo lo necesitas para conectar por primera vez Jetpack y si posteas remotamente con clientes que usen ese protocolo (Microsoft Word, Textmate, Thunderbird...)
https://codex.wordpress.org/XML-RPC_Support
También puedes denegar acceso a ese archivo en htaccess. Y reconectarlo solo en el instante en que lo necesites.
Código Apache:
Ver original# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>