Es cierto eso, pero el link solo lo mostraría al usuario que puso el password correcto, porque el link no existe exactamente en la página, sino que se escribe de forma dinámica.

Lo de poner el archivo fuera de la raiz del sitio si da seguridad, solo a la persona con usuario y password autorizados se les daria la dirección real mediante el link.