Tienes que bloquear esos ficheros en el apache.
Metes los archivos prohibidos en una carpeta. Luego creas un .htaccess en esa carpeta con la siguiente línea
Deny from all

Luego para que los usuarios autenticados puedan recuperarlos, tienes que leerlos con PHP (función readfile), y enviar la cabecera correcta.
http://es.php.net/manual/es/function.readfile.php