Require all denied

Du meinst zusätzlich zu den andere htaccess?

Ja. Als /templates/.htaccess ablegen. Das ist nicht wirklich notwendig, aber "schöner".

Zudem ist mir aufgefallen, dass Du Fehlerseiten "bauen" solltest. 1und1 ist da mit seiner Voreinstellung ziemlich unverschämt. Du sendest derzeit eine Seite mit:

…
        <meta content="index, follow, all" name="GOOGLEBOT">
        <meta content="index, follow, all" name="robots">
…
        <script type="text/javascript">
            document.write(
                    '<script type="text/javascript" language="JavaScript"'
                            + 'src="//sedoparking.com/frmpark/'
                            + window.location.host + '/'
                            + '1und1parking6'
                            + '/park.js">'
                    + '<\/script>'
            );
        </script>
…

Da wird nicht nur Javascript-Shit mit Werbung für SEDO geladen (was mein Browser brav verweigert!), sondern gegenüber der Suchmaschine auch behauptet, das wäre OK, das soll so sein!

Trage also in der /.htaccess zusätzlich noch

ErrorDocument 401 /error.html
ErrorDocument 403 /error.html
ErrorDocument 404 /error.html
ErrorDocument 500 /error.html

nach und lege Dir eine schöne "error.html" an. Natürlich mit

<meta name="expires" content="NOW">
<meta name="robots" content="noindex, follow">