La "seguridad por oscuridad" jamás ha sido ni será solución de nada.

Lo único que haces es "reescribir" la URL a un formato más simple, pero como bien acabas de descubrir, eso no oculta ni protege absolutamente nada.

Lo correcto sería que uses mecanismos de autenticación y seguridad real: no sólo "parches" visuales que no sirven de nada.