lo mejor es sacar esos archivos fuera del document root, y utilizar un controlador frontal en php que con readfile dumpee el contenido a la salida comprobando antes que el usuario esté autenticado, incuso combinándolo con url amigables se puede lograr la misma url pero que siempre se dumpee el archivo a través del controlador frontal.