С учетом требований безопасности считайте отключение .htaccess всеми вместе, если это не необходимо на Вашем сайте. (AllowOverride Ни один) Затем можно установить опции глобально в конфигурации Apache.
Тем не менее символьные ссылки не обязательно плохо, но у Вас должно быть ясное понимание Вашей реализации Apache. К non-chrooted Apache символьные ссылки, конечно, представляют значительную угрозу для представления файлов за пределами Вашего корня документа.
Исходный код главной страницы содержал iframe для другого домена, обращающегося к контенту через http, а не через https. Думаю, это было связано с тем, что не весь контент был отправлен в зашифрованном виде.
Вопрос Шейна указал мне на ответ.