Moin Rolf,

Im Normalfall: Nein. Ein Bot, der über's Web an einen Apache geht, bekommt keine .ht* Datei geliefert, und wenn er noch so bettelt.

Das kommt darauf an, welcher AccessFileName und Zugriffsschutz definiert ist. Der Default ist

<FilesMatch "^\.ht">
    Require all denied
</FilesMatch>

allerdings ist es sinnvoll das anzupassen, wenn man einen anderen AccessFileName verwendet.

Wenn es eine PHP Seite mit Bugs gibt, die das Lesen beliebiger Dateien erlauben, sieht die Sache anders aus.

So sieht das auch aus, wenn beliebige andere Seiten (ASP, JSP, …) oder CGI-Executables Mist bauen.

Wenn der Webserver KEIN Apache ist, sieht's auch anders aus, aber dann ist die .htaccess auch wurscht.

Dafür gibt es dort andere Ressourcen, die man schützen möchte.

Viele Grüße
Robert