Смотря, что вы имеете ввиду под "юзер не мог залезть в core?"
Если вы хотите закрыть core от доступа по http, то нужно использовать инструменты веб-сервера: .htaccess для apache или allow/deny для nginx.
Если же речь идет про доступ из файловой системы, то нужно понимать для чего и кем используется каталог core. Закрыть его можно правильно выставленными пермиссиями.