# ------------------------------
# PROTECCIONES GENERALES
# ------------------------------

Options -Indexes
ServerSignature Off

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}]
RewriteBase /
RewriteRule ^index\.php$ - [L]

# Bloquear acceso a archivos sensibles
RewriteRule ^wp-config\.php$ - [F,L]
RewriteRule ^readme\.html$ - [F,L]
RewriteRule ^license\.txt$ - [F,L]

# Bloquear ejecución directa de PHP sensibles
RewriteRule ^xmlrpc\.php$ - [F,L]

# Evitar acceso a archivos ocultos (.htaccess, .user.ini, etc.)
RewriteRule "(^|/)\." - [F,L]

# WordPress
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>

# ------------------------------
# WORDPRESS
# ------------------------------

# BEGIN WordPress
# Las directivas entre BEGIN WordPress y END WordPress
# pueden ser sobrescritas por WordPress.
# END WordPress

# ------------------------------
# PROTEGER ARCHIVOS SENSIBLES
# ------------------------------

<FilesMatch "^(wp-config\.php|php\.ini|php5\.ini|\.htaccess|\.user\.ini)$">
    <IfModule mod_authz_core.c>
        Require all denied
    </IfModule>
    <IfModule !mod_authz_core.c>
        Order allow,deny
        Deny from all
    </IfModule>
</FilesMatch>

# Bloquear acceso a readme y license aunque existan
<FilesMatch "^(readme\.html|license\.txt)$">
    <IfModule mod_authz_core.c>
        Require all denied
    </IfModule>
    <IfModule !mod_authz_core.c>
        Order allow,deny
        Deny from all
    </IfModule>
</FilesMatch>

# ------------------------------
# WORDFENCE WAF
# ------------------------------

# Wordfence WAF
<Files ".user.ini">
    <IfModule mod_authz_core.c>
        Require all denied
    </IfModule>
    <IfModule !mod_authz_core.c>
        Order deny,allow
        Deny from all
    </IfModule>
</Files>

# END Wordfence WAF