Lo mas recomendable es no subir los archivos de composer a producción y mantenerlos solo para pruebas.
Si usas Symfony2, yo utilizo los ".htaccess" que son scripts leídos por el Servidor o Servicio Apache. Te muestro a continuación de la manera que yo redirecciono mi trafico.
Código:
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_HOST} tudominio.com
RewriteCond %{REQUEST_URI} !^/web
RewriteRule ^(.*)$ /web/$1 [L]
</IfModule>
Con esto redirecciono todo mi trafico a la carpeta "web" en "public_html", y el script ".htaccess" lo guardo el la raiz del "public_html".
Puedes usar los mismos scripts para bloquear el acceso a la carpetas. Te recomiendo leas:
[URL="http://www.htpasswdgenerator.com/apache/htaccess.html"]http://www.htpasswdgenerator.com/apache/htaccess.html[/URL]
Y si quieres tener mas conocimientos sobre el tema:
[URL="http://www.desarrolloweb.com/manuales/htaccess-para-urls-amigables.html"]http://www.desarrolloweb.com/manuales/htaccess-para-urls-amigables.html[/URL]
Saludos.