Como Fabio aponta - é melhor manter esses arquivos fora da raiz da web. Mas você ainda PODE usar .htaccess para proteger os arquivos. Eles estarão protegidos, a menos que você exclua acidentalmente o .htaccess ou o administrador do sistema altere a configuração principal (o que às vezes acontece).
Basta colocar um .htaccess no diretório que você deseja proteger e colocar uma única linha nesse .htaccess:
deny from all
