Di solito un path "pseudo-casuale" è considerato già un buon "ostacolo"... cmq puoi mettere tutte le cartelle dentro un'area inacessibile dall'esterno (verifica se puoi usare i file ".htaccess") e quando "servi" i file usi uno script di appoggio (es. "download.php") che legge i contenuti (quindi anzichè avere un link .../dati/ertn4j3nfebbrcebr/esempio.pdf si avrà .../download.php?file=ertn4j3nfebbrcebr/esempio.pdf p.es.)