Os arquivos .htaccess podem interagir com a configuração principal de maneiras não óbvias. No seu caso, seu problema é que você tem bot de controle de acesso em seu arquivo httpd.conf e .htaccess. E ambos são aplicados.
Você tem em sua configuração:
Order allow,deny
allow from all
E no seu arquivo .htaccess:
Order Deny,Allow
Deny from all
Portanto, o resultado final é como se as permissões fossem:
Order Deny, Allow
Deny From All
Allow From ALL
O que significa que todos têm acesso. Neste caso, você deve usar "Order Allow, Deny".
Você não deve usar arquivos .htaccess se tiver acesso à configuração principal. Os arquivos .htaccess existem como uma solução alternativa para casos em que você não tem o direito de editar a configuração principal (como hospedagem compartilhada), mas se você puder editar a configuração principal, deverá usá-la.
Os arquivos .htaccess têm muitas desvantagens. Eles são lidos somente no momento da solicitação e somente após o servidor ter traduzido a URL para um recurso do sistema de arquivos. Eles não são lidos quando o servidor é iniciado. Isso significa que os arquivos .htaccess são possivelmente lidos em todas as solicitações (causando um impacto no desempenho), mas às vezes não são lidos nunca.