Все получилось. Оказывается, у нас никто не разбирается в этом бреде. Пришлось заплатить трем фрилансерам, но один из них таки подсказал.
Выкладываю .htaccess на будущее:
<Files .htaccess>
order allow,deny
deny from all
</Files>
<FilesMatch "\.(jpg|png|bmp|gif|css|js)$">
Header set Cache-Control "public, max-age=1928448000"
</FilesMatch>
RewriteBase /
RewriteEngine on
Options All -Indexes
DirectoryIndex index.html index.php
# -- SEO STUFF - REDIRECT FROM WWW
RewriteCond %{HTTP_HOST} ^www\.(.*)$ [NC]
RewriteRule ^(.*)$ http://%1/$1 [L,R=301]
# -- SEO STUFF -- REMOVE SLASH FROM BACK OF THE ROUTES
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule ^(.+)/$ $1 [L,R=301]
# -- SEO STUFF -- REMOVE INDEX.HTML / INDEX.PHP
RewriteCond %{THE_REQUEST} index\.(html|php) [NC]
RewriteRule ^(.+/)?index\.(html|php)$ $1 [L,NC,R=301]
# -- DISABLE HACKING
RewriteCond %{QUERY_STRING} base64_encode[^(]*\([^)]*\) [OR]
RewriteCond %{QUERY_STRING} (<|%3C)([^s]*s)+cript.*(>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule .* index.php [F]
# -- CGI AUTHORIZATION STUFF
RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}]
# -- IF NOT END FILE/DIRECTORY - IT IS ROUTE
RewriteCond %{REQUEST_FILENAME} !^favicon\.ico
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule .* index.php [L]