Moin!

Und eine Kontrolle über ein Passwort würde ich auch nicht verwenden.
Wenn Du schon diese Kontrolle im Apache selbst durchführen willst (und nicht in einer Firewall "weiter vorne"), dann solltest Du dem "Angreifer" überhaupt keine Möglichkeit geben, richtig zu raten, und alles außer Deiner loopback-IP-Adresse 127.0.0.1 ausschließen.

Wenn, dann würde ich den Apache auch nur an dieses (oder das lokale Netzwerk-) Interface binden. Dann ist er aus dem Internet gar nicht sichtbar - und was unsichtbar ist, kann nicht konnektiert werden. Abschottung nach deinem Muster sorgt dann für die letzte Sicherheit.

- Sven Rautenberg