Ja. Du musst eben 'nicht-öffentliche' Verzeichnisse haben. Dies ist dann der sicherste Weg.

Mit "von außen nicht aufgerufen" werden können soll heißen, dass es außerhalb des DocumentRoot liegt.

Ich komme leider nicht oberhalb des root. Hatte das schon als Option gefunden, fällt aber leider flach.

.htaccess geht technisch.

Das kommt darauf an, auf welche Module du Zugriff hast - wird schon klappen:

Ist der Passwort-Schutz der richtige Weg

nein

oder kann ich auch simpler die .htaccess-Datei so gestalten, das sie einfach das Verzeichnis in dem sie liegt, gegen Zugriffe von Außen schützt.

Ja, das schon eher :)

Stichwort: <http://de.selfhtml.org/servercgi/server/htaccess.htm#ip_bereiche_namen@title=deny from all>

Zusätzlich liegen dann im Root die index.php und die Seiten für den geschützten Bereich.

Zusätzlich solltest du aber auf jeden Fall die jeweiligen Scripte mit einer Abbruchbedingung ausstatten.

config.php:

define('FOO', true);

Andere Scripte inkludieren config.php und haben folgendes dring:

if(!FOO) die();