# ================== /admin — sólo admin.php ==================
Options -Indexes -MultiViews
DirectoryIndex admin.php index.php index.html

<IfModule mod_rewrite.c>
  RewriteEngine On
  # Si alguien llega con admin.html, llévalo a admin.php
  RewriteRule ^admin\.html$ admin.php [R=301,L]
  # Bloquear dotfiles
  RewriteRule "(^|/)\.(?!well-known/)" - [F]
</IfModule>

# Permitir SOLO admin.php
<Files "admin.php">
  Require all granted
</Files>

# Bloquear cualquier otro .php en /admin
<FilesMatch "^(?!admin\.php$).*\.php$">
  Require all denied
</FilesMatch>

# Bloquear otros intérpretes por si acaso
<FilesMatch "\.(phtml|phar|pl|py|cgi|asp|aspx|jsp)$">
  Require all denied
</FilesMatch>

# Cabeceras básicas (la CSP sale desde admin.php con NONCE)
<IfModule mod_headers.c>
  Header always set X-Content-Type-Options "nosniff"
  Header always set X-Frame-Options "SAMEORIGIN"
  Header always set Referrer-Policy "strict-origin-when-cross-origin"
</IfModule>
