Технорати для валидации блогов раньше просил вставить прямо в текст страницы уникальный токен. Т.е. доступ к корню в таком случае не нужен, только к тексту главной страницы сайта.
Токен можно или генерировать случайно (и хранить на сервере), или брать хеш от ID пользователя и домена, например.
Проверяется тривиально: скачиваем главную страницу, ищем нужную подстроку. Нашли — пользователь подтвержден.
