Estas equivocado, wordpress por si solo no logra hacer eso, tambien es victima de dichos ataques.

Lo que puedes hacer es denegar el acceso a los folders con el htaccess , no recuerdo como va pero puedes googlear "htaccess disable access to directory"


y para el index.php?vars=...
en PHP puedes poner al inicio

if($_GET){die();}

eso por lo menos te evitara mas problemas en el servidor aunque el ataque continué.

También complementándolo puedes crearte una lista de IP y posteriormente las agregas a lista negra en tu servidor, el como se hace esto ultimo depende del tipo de servidor que tengas.