Se você configurar seus vhosts para usar subdiretórios em /var/www/html
, é tão seguro quanto armazenar arquivos htpasswd em /var/www
- ninguém que use http poderá lê-los.
Uma maneira mais comum é empacotar os scripts dentro de uma pasta Webapps, já que shellscripts geralmente não devem conter informações confidenciais.