Haciendo un escaneo rutinario, descubro que en una de las webs ese fichero .user.ini se ha quedado visible desde Internet. Lo cual no es buena idea, para ocultarlo … añadir lo siguiente al .htaccess
Require all denied
Order deny,allow
Deny from all
Y listo … supongo que cuando se activo wordfence fallo el update del fichero … porque en el resto están todos bien.