Come fa notare Fabio, è meglio mantenere tali file fuori dalla radice web. Ma puoi ancora usare .htaccess per proteggere i file. Saranno garantiti protetti a meno che tu non elimini accidentalmente il .htaccess o l'amministratore di sistema non modifichi la configurazione principale (cosa che a volte accade).
Basta inserire un .htaccess nella directory che vuoi proteggere e inserire una singola riga in quel .htaccess:
deny from all
