Все тайные скрипты в отдельный каталог типа "inc"
Туда .htaccess с deny from all

php из таких каталогов спокойно читает инклюды

Раз хочешь на ssi, то главная страница в открытом доступе. Там переменную и взводи
Но это все равно изврат

Я делаю так: в каталог (путь) где должна быть страница кладу файл _html
В корне сайта .htaccess редиректит, если такой файл есть в каталоге на php скрипт, который отображает header, footer сайта и в том месте где должен быть текст страницы вставляет содержимое _html файла (путь передается в качестве параметра при редиректе). В _html файле обычный текст с обычной html разметкой. Картинки можно в тот же каталог положить. Очень удобно

RewriteEngine On

RewriteCond %{REQUEST_FILENAME}/_html -f
RewriteRule ^(([-_\ a-zA-Z0-9]+/)*)$  /inc/php/_html.php?path=$1  [qsa,E=ACCESS_ALLOWED:1]

<Files _html>
  Deny from all 
</Files>