Hay varias formas, pero la más fácil seguramente es que pongas un fichero .htaccess en la carpeta includes que denegue el acceso desde web a cualquiera.
Tendría que incluir lo siguiente:
Código:
Order allow,deny
Deny from all
Eso suponiendo que el servidor sea apache...