Запретить доступ к файлам в простой системе входа в систему PHP

Я написал эту ОЧЕНЬ простую систему входа на PHP:

<?php
    session_start();
    $error = '';

    if (isset($_POST['username']) && isset($_POST['password']))
    {
        if ($_POST['username'] == 'user' && $_POST['password'] == 'pass')
        {
            $_SESSION['client'] = 'ok';
            Header ("location: /kit/kit/index.php");
        }
        else
        {
            $error = 'Usuario o contrase&ntilde;a incorrectos.';
        }
    }

?>

Не беспокойтесь о проблемах уязвимости, это не защищает ничего ценного.

На каждой странице .php я добавляю:

<?php
    session_start();

    if (!isset($_SESSION['client']) || $_SESSION['client'] != 'ok')
    {
        Header ("location: /kit/index.php");
        die();
    }

?>

Это отлично защищает сеансы .php.

Проблема в том, что это не защищает файлы.

Я имею в виду, что если перейти непосредственно к:

something / other / file.zip

, он загрузит его независимо от того, вошли вы в систему или нет.

Надеюсь, вопрос достаточно ясен, если нет, спросите!