ad 1) Většinou je to nastavené přímo na hostingu a není potřeba to vůbec řešit. Můžete to vyzkoušet tak, že zkusíte zobrazit obsah nějakého prázdného adresáře na serveru. Podle manuálu by mělo bohatě stačit (řešilo se to např. zde):
Options -Indexes
ad 2) S ochranou adresáře wp-content
bych byl velmi opatrný. Pokud pomocí souboru .htaccess povolíte jen určité typy souborů, tak mohou nastat problémy, když nahrajete nějaký jiný. Do tohoto adresáře se také ukládají dočasné aktualizační balíčky, případně ho používají cachovací pluginy, atd. Pravidla ze zmiňovaného návodu bych asi raději napoužil, stejně jsou pouze převzatá z anglicky psaných návodů (např. zde) a kolují mezi uživateli stále dokola, ale když je někdo opravdu pořádně vyzkouší, tak má problém :-)
ad 3) Podle mě je to jedno, zda to bude před nebo za pravidly pro WordPress, ale nemíchal bych to mezi ně. U některých složitějších zápisů by se to asi mohlo zkombinovat, ale jinak je to zbytečné a může přinést problémy…
A nakonec už jen doporučení, pokud používáte iThemes Security a ještě k tomu Sucuri Security, tak už není potřeba žádné další nastavení řešit :-)