Se você configurar seus vhosts para usar subdiretórios em /var/www/html , é tão seguro quanto armazenar arquivos htpasswd em /var/www - ninguém que use http poderá lê-los.
Uma maneira mais comum é empacotar os scripts dentro de uma pasta Webapps, já que shellscripts geralmente não devem conter informações confidenciais.