Versteckte Dateien und Verzeichnisse (zum Beispiel .htaccess, .htpasswd, .git, .hg, etc.) sollten nicht von außen abrufbar sein.
RewriteCond %{SCRIPT_FILENAME} -d [OR]
RewriteCond %{SCRIPT_FILENAME} -f
RewriteRule "(^|/)\." - [F]
Alternativ lässt sich hiermit auch ein 404er provozieren, damit der Aufrufende noch nicht mal merkt, dass die Dateien existieren:
RedirectMatch 404 /\..*$