На ум приходит только несколько простых действий по настройке .htaccess, robots.txt
robots.txt - не имеет никакого отношения к разграничению доступа, это просто некое соглашение между гугл-ботом и владельцем сайта, позволяющие не усложнять жизнь друг другу.
.htaccess - это и есть
конфиг Apache, определяющий как веб-сервер обрабатывает HTTP-запросы и что, как и кому (авторизация/сессии юзеров) отдает в ответ. Веб-сервер можно заставить отдавать/не_отдавать содержимое файловой системы как угодно. В общем случае содержимое "сайта" (такое расплывчатое понятие) "показываемое" (доступное) HTTP-клиенту совсем не обязательно повторяет структуру каталогов в файловой системе сервера (представление о том что веб-сервер "открывает" содержимое файловой системы в Сеть исторически сложилось благодаря соответствующей архитектуре Apache, который изначально разрабатывался для статических сайтов).
Даже без всякого конфигурирования .htaccess на всех серьезных хостингах по умолчанию публично открыто только содержимое
public_html (только на совсем школьных хостингах публичный доступ идет от корня по умолчанию), все что находится выше по уровню недоступно со стороны Сети (если только специально не открыть через .htaccess).
spoilerМогут ли идейные люди ...
Много таких "идейных" по весне оттаяло. Везде они могут получить доступ (на словах), хацкеры диванные, попугаи-попугайчики.
