Ich komme leider nicht oberhalb des root. Hatte das schon als Option gefunden, fällt aber leider flach.

Schade, ist bei meiner Uni-Homepage aber leider auch so. Damit fällt die sicherste Methode aus.

.htaccess geht technisch.
simpler die .htaccess-Datei so gestalten, das sie einfach das Verzeichnis in dem sie liegt, gegen Zugriffe von Außen schützt.

just:
deny from all
in die .htaccess. Fäddsch.

Brauchst Du ja keine Benutzerprüfung. Selbst die adminsten aller Admins sollen ja schön über die Hauptseiten da reinsurfen (nat. schaut php intern nicht nach den .htaccess).

Cheers,
Baba