[...] in ein Verzeichnis packen, dass von Außen nicht aufgerufen werden kann.

Ja. Du musst eben 'nicht-öffentliche' Verzeichnisse haben. Dies ist dann der sicherste Weg.

Mit "von außen nicht aufgerufen" werden können soll heißen, dass es außerhalb des DocumentRoot liegt.

Noch sicherererer als die Verzeichnisse mit .htaccess zu schützen.

Oder über die Server-Konfiguration oder aber über eine simple die()-Funktion die aufgerufen wird, wenn eine bestimmte Konstante aus der allgemeinen Konfiguration fehlt.

Aber all das hat den Nachteil, dass es scheinter kann, wenn z.B. .htaccess-Anweisungen nicht erlaubt sind, mod_auth nicht verfügbar ist oder der PHP interpreter nicht vorhanden ist.