Что такое Joomla! это определение константы в корневом файле и проверка того, определено ли это во входящих файлах.
defined('_JEXEC') or die('Restricted access');
или
можно сохранить все файлы вне досягаемости http, помещая их вне каталога webroot, поскольку большинство фреймворков, таких как CodeIgniter, рекомендуют.
или даже размещая файл .htaccess внутри папки include и правила записи, вы можете предотвратить прямой доступ.
Да, можно ограничить доступ диапазоном IP-адресов или списком IP-адресов. По-видимому, эта функция находится в стадии бета-тестирования, и вам придется написать оператору Heroku по электронной почте.
https://devcenter.heroku.com/articles/private-spaces#trusted-ip-ranges-for-data-services