Ich habe ein Problem damit, dass jeder x-beliebige, der nicht berechtigt ist den Code zu laden, dann über die entsprechende URL an den code kommen kann. Dies können natürlich auch Hacker sein, die den Code analysieren wollen.

Kann man das irgendwie sicherer machen?

Nun, das Client-Skript muss sich hald am Server erst authentifizieren, bevor es den Quellcode der Module runterladen kann.
Das kann über einen einfachen Hash gehen, der bei jedem Client identisch ist (und somit jedem bekannt ist, der dein CMS hat), oder beispielsweise über einen Lizenzschlüssel, sofern dein CMS mit Lizenzen vertrieben wird.

Aber, auch wenn es natürlich besser ist, dass nicht jeder Beliebige deinen Quellcode lesen kann, sollte das dennoch kein Sicherheitsproblem darstellen. Auch wenn kein Mensch fehlerfrei ist, solltest du dennoch von der Sicherheit deines CMS genug überzeugt sein, sodass du es guten gewissen anderen unter die Nase halten kannst :)

Gruß,
Andreas