bien, podrias empezar explicando como manejas actualmente las descargas, pues la mejor manera de proteger el directorio es que el usuario no sepa q el mismo existe.
tus descargas deben ser links a archivos como descargar.php?id=45
entiendes? y en q la db este guardaba la ubicacion de la descarga de esta manera el script forza la descarga con header y manda la info sin que el navegador sepa donde estan los archivos.
PD proteger los directorios con htaccess me parece buena idea de todas formas.