Я не знаю bluehost, но определенно выложу его за пределы корневого каталога сети, если сможешь. Если вы не можете, создайте новый каталог, поместите скрипт оболочки и файл .htaccess с надписью
Deny from all
в нем. Это должно заблокировать его для доступа извне с ошибкой 403. Убедитесь, что вы тестировали.
Лучше использовать IMO, если размещать его вне корневого веб-каталога, особенно если он содержит конфиденциальные данные.