Tal vez una pregunta noob. He intentado buscar, pero tal vez mis términos de búsqueda fueron demasiado específicos.
Acabo de realizar una prueba de lápiz en el sitio de un cliente. El sitio me permitió descargar .htaccess simplemente navegando al directorio donde estaba almacenado; www.example.com/dir/.htaccess
¿Qué causa esto y cómo puede remediarse?
Depende del tipo de servidor web en cuestión. Si es apache, debería contener algo como esto en el archivo de configuración (generalmente en el apache.conf "principal"):
<Files ~ "^\.ht">
Order allow,deny
Deny from all
Satisfy all
</Files>
Si falta, puede causar el problema que describiste.
La otra causa típica de esto es que el cliente usó apache en el pasado, pero cambió a otra cosa (por ejemplo, nginx) que no usa .htaccess y, por lo tanto, no lo trata de una manera especial. La solución en este caso es específica del servidor web, pero generalmente se reduce a restringir el acceso a los archivos que comienzan con ".ht" o, si realmente no se usan, simplemente puede eliminarlos.
Lea otras preguntas en las etiquetas web-application webserver