試してないのですが、以下のように.htaccessで制御する記事を海外のブログで見つけたので、メモがわりに書いておきます。
この方法を使用するとプラグインを使わなくてもアップロードファイルにパスワード保護をかけられるので、SNS系のシステムなどを構築するのに便利かもしれません。
Nginx でやるなら、こんな感じ。
location ~ /wp-content/uploads/.* {
if ($http_cookie !~ "wordpress_logged_in") {
rewrite .*$ /wp-login.php?redirect_to=$uri permanent;
}
}
厳密にはログインしてるかどうかは見てないので注意が必要ですよ。