Хорошо, а как он узнает ? перебором чтоли ?
Т.е. в браузере открывается что то типа FTP соединения с твоим хостом и можно свободно удалять твои .htaccess, менять директивы в них, менять права на папки и файлы, слить базу, удалить все файлы с аккаунта и т.д.
Ну ты прям сам себе ответил =))
А от шелла как защитится???
И еще, почему бы не выставить папкам права 711? По моему это более надежно и при этом работает все нормально.