UN "spyder" o un "scanner" lo que hace es buscar archivos que estén vinculados a traves de links en las páginas que tu servidor HTTP sirve.

Las páginas que tu servidor HTTP sirve son las que caen bajo el "Document Root" de ese servidor .. y que suele ser (en servicios de hosting) el famoso "public_html" (por eso se llama así). Todo lo que queda por arriba NO es accesible por una llamada en tu navegador por HTTP: http://....

He de ahí su seguridad simple pero efectiva. Por otro lado .. no hables de "root" .. así confundes. Si quieres llamalo como te comento "Documen root" (con el "document") por qué es así y es en ese directiva de dicho nombre (por lo menos para Apache) donde se configurar tu servidor HTTP para indicar donde "servir" esas páginas que en esos directorios aparezcan.

En resumen .. debes diferenciar y tener claro lo que sería tu "document root" .. o tu "raiz de tu sitio" y lo que es el "raiz" del servidor.

Un saludo,