"del raiz" ... no vas a poder subir (para eso se llama raiz) ..

Pero dentro de tu "servidor virtual" .. al entrar por FTP a tu servidor verás que tienes directorios tipo:

public_html <-- que es donde pones tus páginas web sean .html o .php ...
cgi-bin <-- donde pones tus scripts cgi (perl .pl .. .cgi ..)

Y algunos directorios más si dispones de estadisticas de log y cosas así.

El caso es que tienes que crear un directorio FUERA de tu "public_html" (o como se llame donde ubicas tus páginas web) .. y ahí es donde tienes que subir tus archivos y llamarlos desde PHP con rutas "ABSOLUTAS" .. osease algo tipo:

/var/www/sitiotal.com/mis_archivos/aqui.zip

o como corresponda (en un phpinfo() puedes ver la ruta absoluta de tu servidor virtual asignado en ese servidor ..)

Y .. lo del .htaccess te sirve para hacer la restricción .. pero la idea es tener el control de cuando y donde se bajan el archivo .. De esa manera no controlaras los accesos "incorrectos" al archivo, pero . si dices que no te quieres complicar OK .. visita el manual de Apache y fijate en como restringir archivos por acceso .. Allow GET o deny GET es la directiva (o algo así). (en forosdelweb tenemos el foro "Servidores web -> Apache" por si deseas preguntar por allá)

Un saludo,