Normalmente, todos los archivos situados en el directorio de inicio del dominio (y todos los subdirectorios) pueden descargarse a través de un navegador.
El acceso a los archivos .php, .html, .css y .js es esencialmente necesario para visualizar el sitio web.
Sin embargo, también puede haber archivos en el servidor que no sean necesarios. Estos incluyen archivos de copia de seguridad, archivos de texto, archivos SQL, la mayoría de los archivos XML, etc.
Con instrucciones en el archivo .htaccess en el directorio de inicio del dominio, siempre se puede impedir el acceso a tales archivos.
El primer ejemplo impide inicialmente el acceso a archivos con las extensiones .xml, .bak, .sql, .php4, .php5, .tgz, .gz, .old y .txt:
<FilesMatch "\.(xml|bak|sql|php4|php5|tgz|gz|old|txt)"> Orden Denegar,Permitir Denegar de todos </FilesMatch>
También puede excluir todos los archivos que tengan un carácter de tilde (~) en el nombre de archivo:
<FilesMatch "(~)"> Orden Denegar,Permitir Denegar a todos </FilesMatch>
Si de todas formas se van a compartir archivos individuales, se pueden especificar mediante una "lista blanca":
<FilesMatch "(sitemap\.xml|robots\.txt|crossdomain\.xml)$"> Orden Denegar,Permitir Permitir desde todos </FilesMatch>
Esto se puede utilizar para bloquear a los visitantes con ciertas direcciones IP:
denegar desde 123.123.123.123