HTTP_REFERER no es seguro, se puede modificar ya que es un dato que va en las cabeceras.

La mejor opción es meter esos archivos por debajo de la carpeta webroot (que es la carpeta configurada con los privilegios para que pueda ser accedida externamente), como la llame tu hosting, y acceder a ellos desde tus scripts php públicos, tus scripts públicos, dentro de la carpeta webroot los ejecuta el servidor, por lo tanto tienen permitido el acceso a la carpeta que padre de webroot, pero no tienen acceso directo desde el exterior.

Esta practica es la base para implementar aplicaciones PHP MVC seguras.