Originariamente inviato da _debo
Rettifico ed estendo la mia risposta in quanto non avevo afferrato. Come dice simo22

deny from all

è la direttiva da usare però devi assicurarti che il server su cui stai facendo girare il tuo applicativo ti consenta di usare .htaccess file
Guarda che per quello non server la mod_rewrite, si deve settare un'opzione nella configurazione di apache, mi pare è l'allowOverride.