hi,

Ich denke das lässt sich mit .htacess nicht realisieren, oder?

nein, aber HTTP AUTH ist ja nicht nur über .htaccess realisierbar.

über php und header() geht's ja auch.

du könntest also die zu schützenden dateien ausserhalb des webroots ablegen, und über eine php-script ausliefern.

dieses script überprüft dann auch die HTTP AUTH daten.
und damit hast du ja auch möglichkeiten, die loginversuche von bestimmten IP-adressen mitzuzählen, und ggf. nach x versuchen ganz auf verweigerung zu schalten o.ä.

gruss,
wahsaga