1. .htaccess может ложиться в любую папку на сервере (в том числе и в корневую) и при наличии опции (не помню название, в доке есть) действует на эту и все вложенные папки
2. .htpasswd может называться не только так а вообще как тебе приспичит, например .mysuperpasswords, главное - если название файла начинается с точки, то апач его в браузере тебе не в жисть не покажет
3. ты можешь закрывать отдельные папки или группы файлов аутентификацией, указывая при этом (если хочешь) для каждой из этих папок и групп файлов отдельный файл с паролями
4. RTFM до полного прояснения мозгов, если трудно с англ. версией - есть куча переводов