# ── Protección de archivos sensibles ─────────────────────────────────────────
# Bloquear acceso directo a archivos PHP internos (no son endpoints de API)
# NOTA: csrf.php NO está aquí porque el frontend llama csrf.php?get_token=1 para obtener el token CSRF

<FilesMatch "^(config\.php|conexion\.php|env_loader\.php|kpis\.php|migrar_passwords\.php|replicar_sedes\.php)$">
    Order Deny,Allow
    Deny from all
</FilesMatch>

# Bloquear acceso a archivos de entorno y configuración
<FilesMatch "\.(env|env\.example|sql|log|gz|bak)$">
    Order Deny,Allow
    Deny from all
</FilesMatch>

# Bloquear acceso al directorio de backups si existe dentro de public_html (por si acaso)
<IfModule mod_rewrite.c>
    RewriteEngine On
    RewriteRule ^backups/ - [F,L]
    RewriteRule ^informes/ - [F,L]
</IfModule>

# Deshabilitar listado de directorios
Options -Indexes
