Pauschal: Bei so Dingen fährst du mit einem passwortgeschützten Verzeichniss ganz gut.

Oder gleich sensible Dateien (welche nicht über HTTP angesprochen werden müssen) überhalb des DocumentRoots des Webservers platzieren.

Diese Dateien tauchen dann wirklich NIE im Index auf ;-)