Ola,
jetzt wirds doch kompliziert. Ich habe mal auf den Tipp von Sascha den kompletten Ordner /pk/ mit einer htacces geschützt.
Allerdings muss ich dann schon Passwort und User angeben, sobald ich die Seite ganz normal aufrufe (also den publicbereich). Das ist ja nicht Sinn und Zweck der Sache.
Wenn ich mich nur auf die include.php beschränke funktionierts.
Die Frage ist allerdings warum das bei mir nicht anders geht und vor allem, reicht das aus?

der pk Ordner hat nicht mit dem public bereich zu tun und wenn du diesen schütz kann keiner in den adminbereich und reicht in dem fall vollkommen aus