Для того, чтобы запретить прямой доступ к файлам в apache есть команда Deny
Например, чтобы запретить доступ к какой либо папке (реально существующей) нужно в эту папку поместить .htaccess со строкой Deny from all
Но попытка достучаться до такой папки это уже «ошибка 403 — Доступ запрещён» и в общем .htaccess
уже надо писать
ErrorDocument 403 /error404.html
