Also ist .htaccess der falsche Ansatz?

Wie ich schon sagte: Phorum hat bereits eine ausreichende Benutzerauthentifizierung - warum du diese nicht verwenden willst ist mir ein Rätsel. Diese ist vermutlich eine Kombination aus PHP und mod_auth (um einerseits die von PHP generierten Inhalte zu schützen und anderseits die statischen Ressourcen (wie z.B. Bilder die von Benutzern hochgelanden wurden).

Jede halbwegs anständige Forensoftware kann sowas - ich kenne Phorum nicht, aber ein kurzer Blick in die Verzeichnisstruktur zeigt deutlich, dass relevante Verzeichnisse bereits im Auslieferungszustand .htaccess-Files enthalten, die stark auf einen entsprechenden Zugriffschutz hinweisen.

Aber es muss doch einen Weg geben die direkte Eingabe der Verzeichnisse in die Adresszeile zu verhindern?

Nein, das ist unmöglich - jeder kann in seine Adresszeile schreiben was er will und eine Anfrage an den Server stellen - es obliegt dann dem Server wie er diese Anfrage beantwortet.