# Zugriff auf .htaccess und .htpasswd verbieten, falls in Benutzung
<FilesMatch "(\.htaccess)">
Order deny,allow
Deny from all
</FilesMatch>
#wichtige Dateien gegen Zugriff von außen Blocken
<files install.php>
Order allow,deny
Deny from all
</files>
<files wp-config.php>
Order allow,deny
Deny from all
</files>
<files error_log>
Order allow,deny
Deny from all
</files>
Allgemein, ein X-Robots-Tag könnte sich in jeder beliebigen htaccess befinden und nicht nur in der vom Root. Für zu sperrende Images zum Beispiel im Verzeichnis /images. Nun brauchst Du danach nicht zu suchen, außer bei /admin-ajax.php wird kein X-Robots-Tag gesendet, falls ich das richtig sehe.
ExpiresActive On schränkt nicht den Zugriff ein, wenn auskommentiert, dann doch nur weil Änderung ohne Verzug übernommen und mit ausgeliefert werden sollen.
Ich sehe auch mit einem Testbot nichts, was bei dieser blockieren sollte: