bro un muy facil sistema de anti-sanguijuelas es definir las paginas solo para q sean pedidas por la pagina madre este es el codigo q yo utilixo

define('sesion_admin', 1); // esto lo colocas en el index de tu web


if (!defined('sesion_admin')) die('Antihack - System'); // y esto en la pagina q quieres protejer ya sea un script por aparte o cualquier otra cosa esto solo permitira q abras dicho script si entras desde la principal ok espero q te sirva de algo


PD : no tienes q modificar el .htaccess y ademas lo usan los foros smf lo recomiendo