Официальная документация Apache расплывчато говорит об этом:
Предупреждение: когда вы прокси-передаете запрос другому серверу (в данном случае демону php-fpm), ограничения аутентификации и другие настройки, размещенные в блоке каталога или файле .htaccess, могут быть обойдены.
Итак, могу ли я еще как-то использовать .htaccess в этой настройке?