Htaccessについては未だに監視した方がいいですね。
spam設定で、75000ラインほど入れているのですが、更新のたびにアクセス権と内部情報が書き換わったり、不正なアクセスなどで変更されます。
サーバ管理側の問題もあるのですが一概にどこがという事でもないようです。
サーバの管理で間違った設定は取り返しのつかない場合は多いので、(´・ω・`)
lolipopは、その点、FTP用とweb用とwordpress用と分けれるので通常は、wordpress用がシンプルではないのでHtaccessの容量もしくは、パーミッションが変更されると影響の無い独自ドメインを複数持って、強制復元できるようにしています。
これで完了ですね。

とりあえずは、FTPで作成しHtaccessを別名で作成
変更されたら、別途警告メールを受けて、それまでWAFで防いでもらい落ち着いて独自ドメインの復元PHPで、バックアップHtaccess（※別名だけど）復元すれば数秒で完了が一番手っ取り早いですね。
自サーバで、Windowsだと必ず必要というか腐れてますけどね。
再起動が必要でしょうが・・やはり、Windowsサーバは稼働させない方が無難。Linux系だと、再起動は通常のプロセスなので全く問題ないし、スクリプト組んでいれば、自動的に最新にしてくれます。

次に、WAFのアクセスログより、不正なIPとipセグメントをとって不正履歴データベースより、セグメントによるリジェクトが一番コストがかからなかったらHtaccessに追記ftp転送。
フーですね。不正を試みるipは、98%固定です。当たり前か・・
あるようですね。
串経由もあるようなので、これはリアルタイム串リストから、串リストのセグメントも登録した方がいいですね。
串サーバは、セグメント範囲で動きます。