diff --git a/.env.production b/.env.production
new file mode 100644
index 0000000..59a4c78
--- /dev/null
+++ b/.env.production
@@ -0,0 +1,5 @@
+VITE_API_BASE=https://minecraftia-school.ru
+VITE_REALTIME_HTTP=https://minecraftia-school.ru/api-game
+VITE_REALTIME_WS=wss://minecraftia-school.ru/api-game
+VITE_RUBLOX_HOME=https://rublox.pro/app
+VITE_STANDALONE=false
diff --git a/.gitignore b/.gitignore
index 9429fa6..4aae968 100644
--- a/.gitignore
+++ b/.gitignore
@@ -41,4 +41,43 @@ public/kubikon-assets/
 
 # OS
 Thumbs.db
-.env.production
+
+# ============================================================
+# SECURITY — добавлено после взлома 2026-06-04
+# НИКОГДА не коммитить эти файлы — они могут содержать секреты!
+# ============================================================
+CLAUDE.md
+INFO_PROCESS.md
+PASSWORD_*.md
+SECRETS*
+*_SECRETS*
+*.kdbx
+*.kdbx.bak
+.env
+.env.*
+!.env.example
+!.env.sample
+# .env.production содержит ТОЛЬКО публичные URL (api-base, realtime, rublox.pro)
+# — без секретов. Нужен в git, чтобы CI собирал прод-бандл с правильным
+# VITE_API_BASE (иначе API уходит на origin вместо minecraftia-school.ru,
+# redeem-ticket падает → плеер выбивает на /app). Инцидент 2026-06-07.
+!.env.production
+secrets/
+*.pem
+*.key
+id_rsa
+id_ed25519
+known_hosts
+authorized_keys
+
+# Текстовые заметки разработчика (могут содержать всё что угодно)
+NOTES*.md
+TODO*.md
+PRIVATE*.md
+INTERNAL_*.md
+
+# Бэкапы кода с предыдущих версий
+*.bak
+*.bak_*
+BackUp/
+backup/