Suporta php? Vai ser necessário...
Calculo que como é não pago o alojamento, nao tens acesso a nenhuma área fora da public_html.. existe uma forma mais segura de bloquear esse acesso atraves do .htacess, podes ver aqui: http://www.z-host.com/scripts/ipasswd/
Se conseguires optimo,
Senao.. existe outra forma que é colocar umas linhas de codigo no file que se quer proteger...aqui tá um exemplo:
não tem que ser obrigatoriamente usando uma linguagem server-side tipo php.
há muitas implementações desses sistemas em javascript mas qualquer utilizador com meio palmo de testa sobre javascript passa a perna ao sistema
mas se o servidor não suporta server-side languages, pode ser a única opção e não é muito grave se a informação não for sensível e o publico alvo não for muito esperto (esperto = saber ver a source do site, localizar um .js, abri-lo, ler a pass )