Não levo nada a mal o que disseste, um fórum é para discutir ideias.
O Wordfence não abre portas a nenhuma vulnerabilidade. E é um facto, que é muito melhor tê-lo ativo no website, do que não ter.
Para estares a dizer que o Wordfence "não vai fazer grande coisa" só posso assumir que ou nunca o usaste ou não o sabes usar.
Desde a bloquear tentativas de brute-force, a uploads indevidos mesmo quando existe um 0day (sem ser do Wordfence claro), o Wordfence protege um website de mil e uma maneiras.
Não percebi isso que disseste quem tem IP fixo pode ser banido.
Essa screenshot mostra vulnerabilidades de vários plugins do Wordpress, sim, concordo que existem várias vulnerabilidades, mas se procurares exploits com a keyword "wordfence", vais encontrar unicamente dois exploits, em que o último é de 14/09/2014 (sim, já à 4 anos que não se descobre exploits públicos para o wordfence).
Quanto a isso que dizes se eu penso que o Wordfence protege de ataques DDoS, não só penso isso, como tenho a certeza.
O Wordfence além de scanner tem função de firewall, logo sim, podes bloquear acessos indevidos e limitar bandwidth quando é detetado X requests por segundo, ou até mesmo bloquear indefinidamente.
Agora, existem vários alvos que ao ser atacados podem gerar um DDoS que mesmo com firewall no website não resolve nada. Mas neste caso, seja com Wordfence, seja com uma firewall no hosting, o resultado seria o mesmo, nenhum.
E claro, que a melhor maneira de proteger um website de um DDoS é evitar que seja possível ele acontecer (pelo menos diretamente), pela minha experiência basta utilizar o Cloudflare para esconder o IP do servidor e não à maneira de um atacante seque saber qual é o IP para realizar o ataque.
Quanto à performance, o Wordfence não tem impacto nenhum, a menos claro, que estejamos a falar de um hosting mesmo fraco que quando o Wordfence inicia o scan começa a dar avisos de limites de IO excedido (olá amen.pt).