Tener GIT en producción de una aplicación web tiene ventajas en cuanto a mantener el código actualizado, pero hay que tener en cuenta que al mantener git en producción, apache, también servirá la carpeta .git junto a tu página web, lo que implica un grave fallo de seguridad.

Con una simple directiva de apache podemos evitar que sea accesible esta carpeta:

RedirectMatch 404 /\.git

Con añadir esta línea al archivo /etc/apache2/apache2.conf o la ruta a la configuración de apache de tu server, ya tendremos la carpeta y los archivos que comiencen por .git (como el .gitignore) protegidos de mirones, lo mejor de esto es que el error al buscar la carpeta será un 404 con lo que el atacante en este caso creerá que no existe git en el servidor.

El mismo efecto tendrá esta directiva en el .htaccess de tu página aunque tendrás que hacerlo en cada web de tu servidor para que funcione.