Doverin

Спасибо 🙂

Эти 2 кода надо поставить или только один который Вы написали?

php_flag engine 0
RemoveHandler .phtml .php .php2 .php3 .php4 .php5 .php7 .php8 .phps .cgi .pl .asp .aspx .shtml .shtm .fcgi .fpl .htm .html
AddType text/plain .phtml .php .php2 .php3 .php4 .php5 .php6 .php7 .php8 .phps .cgi .pl .asp .aspx .shtml .shtm .fcgi .fpl .htm .html


UP: Вроде уже понял что их Вместе надо поставить!
Спасибо за код

Спасибо!

В итоге говорю что буду делать

1. Загружу бекап сайта за 1 августа на Хостинг
2. Удаляю папки wp-admin, wp-includes, файлы WP в корне сайта, / кроме wp-config и .htaccess
3. Заливаю удалённые файлы свежей версии вордпресс 
Что делать с папкой /wp-content/ - не понятно (оставляю прежнюю)

Ставим защиту вручную:

1. Кинуть в папку /wp-content/uploads/ файл .htaccess

Содержимое файла:

<Files *.php>
deny from all
</Files>

2. Кинуть в папку /wp-includes/ файл .htaccess

Содержимое файла:

# Block wp-includes folder and files
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
</IfModule>

3. В корне сайта дописать в .htaccess

<FilesMatch "^(wp-login\.php|wp-admin)">
    Order Deny,Allow
    Deny from all
    Allow from МОЙ IP АДРЕСС
</FilesMatch>

<files wp-config.php>
order allow,deny
deny from all
</files>

Options -Indexes

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

4. В корне сайта дописать в wp-config.php

define('DISALLOW_FILE_EDIT', true);
define('DISALLOW_FILE_MODS', true);

Как думаете, нормальное решение?

Спасибо за столь подробный ответ
Возьму за внимания и буду пытаться наладить этот полный ужас...

А вот что делать с папка wp-content без его удаления? 
Ведь там находятся плагины со всеми настройками и Темы - которые даже и не знаю, получится ли снова вручную делать
папку wp-content если можно не удалять, то что с ней надо делать что бы очистить? подскажите пожалуйста

на всякий случай написал Вам в ЛС

- в папке wp-includes запрещаем доступ к исполняемым файлам

Нашёл такое решение:

полностью запретить любой доступ к файлам в папке wp-includes

надо создать файл .htaccess в папке wp-includes  (если его нет!)
и прописать там:

deny from all

нормальное это решение?
или хватить только php

<Files *.php>
    Deny from all
</Files>

Сделаю бэкап сайта и Попробую установить плагин Sucuri Security

и вопрос
А как можно удалить вордпресс и установить его снова - без потери статей на сайте?

Все Темы покупались официально через темфорест

Но одна была куплена на Кворке, как раз где и был плагин KingKomposer 

Нет, новых картинок не наблюдаю на сайтах
но на одном сайте у меня был KingKomposer - который уязвимый, может через него... (я знал про это, но не думал что будет что то плохое)
Удалил его сразу

нет, все платные плагины официально оплачены

Прям жуть какая то...
Делаю бэкап и сразу на всех почти сайтах устанавливается плагин WP File Manager

Думаю сделать бэкап и сразу записать в файл .htaccess

<Files "wp-login.php">
    Order deny,allow
    Deny from All
    Allow from (мой ip)
</Files>

<files wp-config.php>
order allow,deny
deny from all
</files>

Так же в wp-config.php

define('DISALLOW_FILE_EDIT', true);
define('DISALLOW_FILE_MODS', true);

Ваша последовательность:

- закрываешь доступ всем по htaccess
- сносишь все файлы WP
- заливаешь последнюю версию WP
- сносишь все плагины, заливаешь плагины
- проверяешь все темы. Не умеешь - обращаешься к спецам.
- закрываешь в конфиг файлах доступ к файлам темы
- Защищаешь сайт "ручками", не плагинами. Не умеешь - обращаешься к спецам.
- открываешь доступ к сайтам

- закрываешь доступ всем по htaccess
1. Добавляем в wp-config.php
define('DISALLOW_FILE_EDIT', true);
define('DISALLOW_FILE_MODS', true);
Этого достаточно?

- сносишь все файлы WP
сносишь все файлы WP - это как, нажать переустановить Вордпресс в ПУ?