[Fartuna]

ogogo,
На папки - 755

На файлы - 644

На htaccess у меня стоят - 444 ( у кого то по стандарту 644)

На wp-config.php у меня стоят - 600 ( у кого то 644)

[ogogo]

На htaccess у меня стоят - 444 ( у кого то по стандарту 644)

На wp-config.php у меня стоят - 600 ( у кого то 644)

а можете пояснить почему?

[Fartuna]

ogogo,

На htaccess я поставил 444 тем самым разрешил только читать

На wp-config.php поставил - 600 читать только владельцу файла.

В крации, выставив такие права на эти файлы, я ограничил "лишние" не нужные мне манипуляции с файлами.

Прочитайте справку по правам доступа и сразу все будет понятно.

[ogogo]

а еще вопрос - как быть со страницами которые проиндексированы поисковиками? как от них в индексе ПС избавиться? просто в robots.txt закрыть индексацию тех папок где была всякая "бяка"?

[brig]

поставьте плагины
Login LockDown
антивирус например Wordfence
закройте в .htaccess доступ по ip
в роботс закройте к индексации страницы где "бяки"
скачайте и локально прогоните сайт антивирусом и ai-bolit

Ставьте All In One WP Security - хороший плагин, заменяет практически все что тут перечислено.

Тут ниже пишут что с ним проблемы были какие-то, у меня стоит не первый год на нескольких сайтах и не разу не было.
Как альтернатива, можно поставить плагин ithemes security, но там будьте внимательнее когда с настройками.

[ogogo]

написал в корневом htaccess
<files wp-config.php>
Order allow,deny
Deny from all
</files>

сайт работать перестал. 500 ошибка.
P.S.
а в таком порядке все работает
<Files wp-config.php>
Order Deny,Allow
Deny from all
</Files>

[Coder]

сайт работать перестал. 500 ошибка.

Потому, вероятно, что вы указали в ордер две инструкции - по разрешению и запрету, но определили одну.

В рабочем вашем варианте исполняется первый order, который запрещает все - потому вторая инструкция и не проверяется и не вызывает ошибку.

Имхо, конечно.

[ogogo]

вроде со всем разобрался. все прописал и и все работает. но вот с кодом что ниже че-то не получается. прописываюв корневом htaccess и при попытке зайти 404 ошибка. не пускает на страницу входа в админку. удаляю код заходит по стандартному адресу. подскажите куда копать?!

По поводу входа в админку, этот код(ниже) вставь в самом начале файла htaccess (который в корне движка)
Код HTML:

RewriteEngine On
RewriteRule ^rysR/?$ /wp-login.php?d7415a589b2ddd207402073572f0e4 [R,L]
RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$
RewriteRule ^rysR/?$ /wp-login.php?d7415a589b2ddd207402073572f0e4&redirect_ to=/wp-admin/ [R,L]
RewriteRule ^rysR/?$ /wp-admin/?d7415a589b2ddd207402073572f0e4 [R,L]
RewriteCond %{SCRIPT_FILENAME} !^(.*)admin-ajax\.php
RewriteCond %{HTTP_REFERER} !^(.*)sait.com/wp-admin
RewriteCond %{HTTP_REFERER} !^(.*)sait.com/wp-login\.php
RewriteCond %{HTTP_REFERER} !^(.*)sait.com/rysR
RewriteCond %{QUERY_STRING} !^d7415a589b2ddd207402073572f0e4
RewriteCond %{QUERY_STRING} !^action=logout
RewriteCond %{QUERY_STRING} !^action=rp
RewriteCond %{QUERY_STRING} !^action=postpass
RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$
RewriteRule ^.*wp-admin/?|^.*wp-login\.php /404 [R,L]
RewriteCond %{QUERY_STRING} ^loggedout=true
RewriteRule ^.*$ /wp-login.php?d7415a589b2ddd207402073572f0e4 [R,L]

В коде везде заменяешь

sait.com на свой домен

rysR на свое слово, это хвост вместо wp-admin, например в данном коде, для входа в админку надо набрать sait.com/rusR

d7415a589b2ddd207402073572f0e4 это замени на свой код, любые уникальные символы, можешь даже в MD сгенерировать такие кракозябры.

( использую редактор для замены, заменяй во всех местах в коде.)