Директива каталога для каталога вне корня документа - лучшая практика

С точки зрения веб-сервера это нормально. Следующим шагом будет проверка прав доступа к каталогу и их установка (ограничить доступ к нему для владельца процесса веб-сервера).

Обновление : Не уверен, действительно ли вам нужна AllowOverride All , поскольку это может ударил вас по лицу файлом .htaccess внутри каталога. Я предлагаю вам прочитать здесь , чтобы понять, что вам действительно нужно. Если вам вообще не нужен .htaccess, просто установите для него значение AllowOverride None