Para proteger o seu projeto de acesso direto a arquivos, em especial dos arquivos PHP de Temas e Plugins que são essenciais ao funcionamento dos mesmos; você pode inserir uma breve instrução no início desses arquivos.

A proposta é verificar se o WordPress foi carregado mediante a existência de alguma variável, constante, função ou classe do sistema. Existindo esses elementos fundamentais do WP, o acesso foi feito de vias naturais pelos links gerados pelo CMS.

Do contrário, você pode interromper a execução do código como bem entender; pois ou ele foi acessado diretamente via navegador ou mesmo que o acesso tenha sido a algum link da estrutura do WordPress, ele não carregou como esperado e portanto traria problemas ao visitante de qualquer modo.

<?php
if ( !function_exists( 'add_action' ) ) {
    header( 'Status: 403 Forbidden' );
    header( 'HTTP/1.1 403 Forbidden' );
    die;
}

Caso prefira, você pode fazer o bloqueio de acesso a certos arquivos através do arquivo .htaccess, tal como foi demonstrado ao proteger o arquivo wp-config.php.