Вы вопрос не является немного доска, и поэтому ответ немного общего , но есть пара подходов;
вариант 1. удалить файлы изменений и лицензий? если это yii install changelog и лицензия, тогда их не нужно оставлять на сервере. просто убедитесь, что вы соблюдаете требования лицензии.
вариант 2. Вы упомянули «гостевой пользователь», который htaccess не собирается хорошо интегрировать с yii для авторизованных пользователей. вы можете переместить файлы в папку с .htaccess, содержащую одну строку Deny from all. это блокирует всех, кроме PHP, выполняемых на вашем сервере.
Теперь вы можете создать метод/действие в контроллере, который просто отображает содержимое файла. file-get-contents или readfile. оберните эту аутентификацию, чтобы только пользователи, не являющиеся гостями, могли использовать этот метод.
если есть только два статических файла, то, возможно, просто «действие» для каждого. если его много файлов, которые меняют имена и т. д., то вы принимаете id для перехода контроллера к модели, которая использует scandir, и проверяет file действительно exists и выплевывает ваш вывод для просмотра.
вариант 2,1 вместо папки с .htaccess вы можете также переместить файлы родителя вебхостинг базовой директории, если у вас есть этот доступ. это означает, что ваш веб-сервер не может обслуживать файл, но php все равно может использовать его с локальными путями.
вариант 3 в .htaccess вы можете использовать AuthType basic и будет вызывать ваш веб-сервер, чтобы запрашивать у пользователя имя пользователя и пароль в соответствии с настройками в файле .htaccess. это проблематично, так как интерфейс не является удобным для пользователя и очень сложно интегрировать с вашим веб-сервером db.
вариант 4 .htaccess может поддерживать другие AuthType сек, но вариант 2 становится намного проще в этой точке.
Сколько файлов есть ** в ** ок, на которой вы хотите запретить доступ, а также файлы имеют похожие имена или нет? –