Me parece buena idea... y se complementa con lo que dice boxin. Pero tendría que meter todos mis archivos dentro de otra carpeta y dejar el index.php solito en root.

Ok, por eso no habría problema. ¿Pero te refieres a ponerle contraseña al directorio?... las contraseñas son vulnerables.

¿No habrá una directiva del Apache para restringir un directorio?...

¿Servirá Deny?... podríamos poner un .htaccess dentro de la carpeta includes con el siguiente contenido:

deny from all