Как указывает Фабио, лучше сохранить такие файлы из веб-корня. Но вы все еще можете использовать .htaccess для защиты файлов. Они будут защищены, если вы случайно не удалите файл .htaccess или системный администратор изменит основную конфигурацию (что иногда случается).
Просто поместите файл .htaccess в каталог, который вы хотите защитить, и поставьте одна строка в этом .htaccess:
deny from all