Comme le souligne Fabio, il est préférable de conserver ces fichiers hors de la racine Web. Mais vous POUVEZ toujours utiliser .htaccess pour protéger les fichiers. Ils seront garantis protégés à moins que vous ne supprimiez accidentellement le .htaccess ou que l'administrateur système ne modifie la configuration principale (ce qui arrive parfois).
Mettez simplement un .htaccess dans le répertoire que vous souhaitez protéger, et mettez une seule ligne dans ce .htaccess :
deny from all
