Una buena estrategia sería tener adicionalmente la contraseña encriptada en el script. Usando md5() hallas el hash md5 de tu contraseña y ese hash es el que colocas en tu script. Para comprobar, tomas la contraseña que está entrando (del usurio) y la pasas por md5(), luego comparas
Código PHP:
// Si tuy password fuese "admin", el hash md5 sería "21232f297a57a5a743894a0e4a801fc3"
if($_SERVER['PHP_AUTH_USER'] == "admin" && md5($_SERVER['PHP_AUTH_PW']) == "21232f297a57a5a743894a0e4a801fc3"){
///
}
Dado que el hash md5 es un hash sólo de ida, si alguien ve tu código por X motivo, igual no podrá saber la contraseña real.
Con respecto a tu última pregunta. Si un formulario externo está enlazado a tu script php, este tomará las variables de ese formulario como si estuviese en tu mismo servidor. Puedes filtrar usando $_SERVER['HTTP_REFERER'] aunque no es lo más óptimo. Por otro lado, no tiene spor qué preocuparte si en tu archivo setup.php que recibe las variables del formulario tienes esa regla de validación. Con formulario externo o no, igual se deberá poner el usuario y la contraseña que ha definido.
