WSDL es un formato basado en XML que describe cómo se debe hablar con un servicio web determinado. Sin embargo, esta no es la única encarnación de esa sintaxis. El propio servidor conoce la sintaxis (por supuesto) pero también el cliente legítimo.
Si un atacante quiere saber cómo hablar con su servicio web, solo tiene que aplicar ingeniería inversa al código del cliente. El código del cliente se implementa en varios lugares, es un archivo escrito en discos y cintas de respaldo y medios de distribución, también está en la cabeza de varios desarrolladores, y el protocolo puede documentarse e imprimirse, por lo que el atacante puede escanear los contenedores de basura. en el sitio de desarrollo para obtener la información sobre la sintaxis. El WSDL solo puede ayudar al atacante, pero sería un error creer que sin el WSDL el atacante está gravemente dañado.
Como dice @Rook, permitir que su servicio web publique el WSDL es conveniente para las pruebas; También es bueno para desarrollos de interoperabilidad. Dado que cualquier política de seguridad sensata debe asumir que es pública o casi pública de todos modos, puede dejarla pública.