# shared/ se incluye por filesystem (../shared/auth.php, ../shared/store.php); no
# está pensado para servirse por HTTP. Por las dudas, bloqueamos los archivos con
# secretos. Los datos viven en shared/data/ (con su propio "Require all denied").
<FilesMatch "^config.*\.php$">
    Require all denied
</FilesMatch>
