Einen kleinen Strohhalm gibt's noch, an den man sich klammern kann: Man benennt die Dateien so, dass der Name mit ".ht" beginnt. Diese Dateien sind nämlich auch in der Defaultkonfiguration des Apachen schon ausgenommen und werden weder in einem Verzeichnislisting gezeigt (sollte es einmal dazu kommen), noch auf direkte Anfrage ausgeliefert.

Aber es gibt auch veränderte Konfigurationen, darum warnt die Apache-Doku auch davor das Passwort-File (welches üblicherweise .htpasswd oder ähnliches heisst) im DocumentRoot (oder darunter) liegen zu lassen.