プラグイン「Password Protected」を有効かしても、メディアのアドレスを入力するとファイルが見れてしまう問題を解決するためのhtaccess設定。

# Protect all files within the uploads folder
RewriteEngine On
RewriteCond %{HTTP_COOKIE} !bid_1_password_protected_auth [NC]
RewriteCond %{REQUEST_URI} ^(.*?/?)wp-content/uploads/.* [NC]
RewriteRule . https://%{HTTP_HOST}%1?password-protected=login&redirect_to=%{REQUEST_URI} [L,QSA]

上記でも一度アクセスするとキャッシュが残ってしまい、ログアウトした状態からまたメディアが見れてしまう。

<Files ~ "\.(jpe?g|gif|png|pdf)$">
Header add Pragma "no-cache"
Header set Cache-Control no-cache
</Files>

↑キャッシュを残さなくするコード

基本的には閲覧パスワードを知っている（画像を見たことがある）ことが前提になるので、キャッシュを残さない設定まではしなくてもよいと思われる。