Şu kaynakta şöyle bir şey buldum: https://wordpress.stackexchange.com/...-not-logged-in

.htaccess dosyanızın yedeğini aldıktan sonra, aşağıdaki kodu .htaccess dosyanıza ekleyip dener misiniz? Bu kod, wp-content/uploads/ dizinine ve bunun alt dizinlerine gelen talebi, dl-file.php dosyası üzerinden çağırıyor, böylece kişilerin dosyalarınıza doğrudan erişimini engellemiş oluyorsunuz. Kullanıcı giriş yapmamışlsa, wp-login.php'ye yönlendiriliyor.

RewriteCond %{REQUEST_FILENAME} -s
RewriteRule ^wp-content/uploads/(.*)$ dl-file.php?file=$1 [QSA,L]

Örnek bir dl-file.php dosyasını da şurada paylaşmışlar: https://gist.github.com/hakre/1552239

edit: dl-file.php'yi ana dizine eklemeniz gerekiyor, wp-config.php'nin falan olduğu.