Mira, si en realidad tenes un equipo o SO servidor, nadie debería de poder tocar nada a menos que compartas algo para todos o no tengas establecido bien las políticas de uso.

Si te referís directamente al servidor web, es cuestión de configuración de Apache o de PHP. Si es con PHP, te aconsejaría trabajar con sesiones para que NO aparezcan las rutas de tus script PHP (sección de PHP) y en caso que no tengas claro el concepto de sesiones, pone en cada subcarpeta (exepto en la principal) un index.htm o index.php que contenga un mensaje de NO permitido y redireccione a la página principal.

Dependiendo de tu respuesta, tomaré la decisión de donde mover el tema o dejarlo aquí.