У меня возник такой же вопрос и эта тема оказалась одной и топовых в гугле, так что пишу сюда решение для будующих поколений так сказать:
Чтобы запретить через .htaccess доступ к определенным каталогам достаточно создать новый .htaccess в этот каталог где и прописывать:
Order Allow,Deny
Deny from all
В корневом же можно скрыть файлы по типам, мне например надо было скрыть всю папку /config а в ней были json файлы, тогда конструкция ниже вполне бы подошла (расширения файлов для скрытия можете указать свои):
<FilesMatch ".(htaccess|htpasswd|ini|phps|fla|psd|log|sh|json)$">
Order Allow,Deny
Deny from all
</FilesMatch>
|