سلام
خیلی کار میتونید انجام بدید.
۱) تعریف توکن اختصاصی برای خودتون.
۲) بررسی صفحهای که درخواست از اون ارسال شده (در صورتی که صفحهی درخواست کننده غیر از سایت شما بود ارور بدهد).
روش تعریف ثابت هم بدین صورت هست در صحفه ایندکس یا کانفیگ خود (در کل فایلی که در همه صفحات لود میشود) تعریف میکنید و یک شرط میگذارید که اگر این ثابت تعریف شده بود کدها اجرا بشه و در غیر این صورت ارور عدم دسترسی بده. دقیقا کاری که در بخش افزونههای وردپرس انجام میدیم.
// کدی که در وردپرس برای جلوگیری از دسترسی مستقیم استفاده میکنیم
defined('ABSPATH') || exit('No Direct Access.');