สร้างไฟล์ .htaccess หรือ copy ข้อมูลนี้เพิ่มในไฟล์
โดยวางไฟล์ .htaccess ไว้ใน public_html

<Files *.php>
Order Deny,Allow
Deny from all
Allow from 127.0.0.1
</Files>
<Files ~ "(index.php|wp-login.php|wp-cron.php|xmlrpc.php|wp-tinymce.php|repair.php|wp-comments-post.php|admin-ajax.php)">
Order Allow,Deny
Allow from all
</Files>

วิธีการป้องกัน WordPress โดนแฮก [Hack WordPress]
แม้ว่าเราจะใช้ซอฟต์แวร์ต่างๆให้เป็นเวอร์ชั่นล่าสุดแล้วก็ตาม ช่องโหว่ที่อาจจะทำให้โดนแฮกก็เกิดขึ้นได้ พวก CMS ต่างๆจึงต้องทำการอัพเดตให้เป็นรุ่นล่าสุดอยู่เสมอๆ และมีการพัฒนาอยู่เสมอๆ

Plugin ตัวหนึ่งที่มีความสามารถในการป้องกันการโดนแฮกจากการ Injection ต่างๆผ่านช่องโหว่ของ PHP Script ได้เป็นอย่างดี All In One WP Security & Firewall หลังจากติดตั้งแล้ว ให้ไป Firewall และเปิดการตั้งค่าตามนี้

Enable Pingback Protection
Block Access to debug.log File
Disable Trace and Track
Forbid Proxy Comment Posting
Deny Bad Query Strings
Enable Advanced Character String Filter
Enable 6G Firewall Protection
Enable legacy 5G Firewall Protection

นอกจากนี้ยังมีส่วนที่แนะนำอื่นๆ เช่น เปลี่ยน prefix ของ Database ในเมนู Database Security, เปลี่ยน Display user ในเมนู User Accounts

Plugin ตัวนี้จะใช้ความสามารถของ .htaccess ในการป้องกัน, หลังจากที่ตั้งค่าเสร็จแล้ว ในไฟล์ .htaccess มีโค๊ดเพิ่มขึ้นเยอะแยะมากมาย ใช้งานได้เฉพาะเว็บเซิฟเวอร์ที่เป็น Apache เท่านั้น, หรือจะใช้ Apache เป็น Backend และใช้ Nginx เป็น Proxy แบบนี้ก็ยังใช้งานได้ปกติ

อื่นๆ
https://gist.github.com/ericrasch/9a5db40951c2b0306c8d