# BLOQUEO DE ARCHIVOS MALICIOSOS
<FilesMatch "\.(py|exe|phar|suspected)$">
    Require all denied
</FilesMatch>

# PERMITIR ARCHIVOS PRINCIPALES DE WORDPRESS
<FilesMatch "^(index\.php|wp-.*\.php)$">
    Require all granted
</FilesMatch>

# BLOQUEAR PHP EN CARPETAS DONDE NO DEBERÍA EJECUTARSE
# (uploads, includes)
<IfModule mod_rewrite.c>
    RewriteEngine On

    # Bloquea ejecución de PHP en /uploads y /includes
    RewriteRule ^wp-content/uploads/.*\.php$ - [F,L]
    RewriteRule ^wp-includes/.*\.php$ - [F,L]

    # Reglas estándar de WordPress
    RewriteBase /
    RewriteRule ^index\.php$ - [L]
    RewriteCond %{REQUEST_FILENAME} !-f
    RewriteCond %{REQUEST_FILENAME} !-d
    RewriteRule . /index.php [L]
</IfModule>