Salut,

htaccess / htpasswd est une bonne protection, puisqu'elle est
a) sur le serveur
b) assez sure en cas d'erreur de mise en place (si tu as mal fait ton htpasswd, l'internaute se heure généralement à une erreur de saisie de mot de passe, plutôt qu'à "une porte ouverte")
c) qu'elle suppose que l'internaute réussisse à gruger apache pour passer au travers (à moins que ton fichier htaccess ou htpasswd soit accessible en lecture depuis le web, mais là c'est toi qui a fait la bêtise), et ça c'est pas gagné pour l'internaute lambda
d) que "le méchant" gruge apache, MAIS qu'il le laisse actif sans le planter; sinon il n'a pas l'affichage du contenu du dossier, puisque c'est apache qui fournit cette info

Donc, je dirais reste là-dessus, vérifie que tes fichiers htaccess htpasswd sont bien inaccessibles depuis le web, choisit un mot de passe fort (pas le nom du chien ou ta date de naissance, et un truc avec lettres chiffres et caractères spéciaux), et éventuellement change le mot de passe régulièrement s'il est potentiellement compromis.

Ca ne me dit rien