robots.txt предназначен для того, чтобы его было видно по HTTP всем. Вы, конечно, можете средствами сервера запретить отдавать его не-роботам, проверяя user-agent, но это совершенно бессмысленное решение, ровно как и попытка скрыть структуру каталогов.
Как сказал один интересный дядька из Яндекса (не помню кто, но суть такая): «Не занимайтесь глубокой преждевременной оптимизацией до тех пор, пока это явно не нужно».
Да, адрес административной части можно поменять (не знаю насколько это решение будет оптимальным и правильным). Это спасет вас (на первое время) от юных кулхацкеров, которые могут с энтузиазмом перебирать пароли.