Ja. Du musst eben 'nicht-öffentliche' Verzeichnisse haben. Dies ist dann der sicherste Weg.

Mit "von außen nicht aufgerufen" werden können soll heißen, dass es außerhalb des DocumentRoot liegt.

Ich komme leider nicht oberhalb des root. Hatte das schon als Option gefunden, fällt aber leider flach.

.htaccess geht technisch.
Dazu habe ich bereits gelesen, dass man damit bspw. eigene Fehlerseiten erzeugen kann usw. und eben auch ein Passwort-Schutz.
Ist der Passwort-Schutz der richtige Weg oder kann ich auch simpler die .htaccess-Datei so gestalten, das sie einfach das Verzeichnis in dem sie liegt, gegen Zugriffe von Außen schützt.
Hätte dann den im Root den Ordner "scripts" mit der .htaccess und den ganzen Skripten, die ich schützen will.
Zusätzlich liegen dann im Root die index.php und die Seiten für den geschützten Bereich.

Viele Grüße
Mark