HTMLやドキュメント系のファイルを外部から直接アクセスされないように保護するようにするのって、面倒だったりしますが、Apacheのmod_actionsを使えば結構楽に、おまけにURLを変えずに保護することができます。
.htaccess
# Word File
Action application/msword /check_login.php
# Power Point
Action application/vnd.ms-powerpoint /check_login.php
# Excel File
Action application/vnd.ms-exce /check_login.php
# Flash File
Action application/x-shockwave-flash /check_login.php
上記のようにMIMEタイプを指定しておけば、該当するファイルへのアクセスがあった場合、指定のファイル(/check_login.php)へ内部的に転送(リクエスト上のURLは変更はなし)してくれます。
詳細は、自分のブログに書いてますので参考にしてください。