Por supuesto, no hay una forma técnica de encontrar ese archivo siempre y cuando no tenga ningún servicio vulnerable ejecutándose en su sistema. No es muy probable que alguien esté buscando archivos ocultos sin una razón. Pero, por supuesto, debes usar .htaccess cuando puedas.
En un escenario típico, los atacantes buscan webapps que se sabe que son vulnerables o permiten un amplio espectro de acceso a su sistema si se usan contraseñas malas o predeterminadas. Básicamente, esto se aplica a todas las aplicaciones web administrativas como, por ejemplo, PHPMyAdmin. Luego intentan explotar la vulnerabilidad o ingresar a la aplicación web utilizando contraseñas predeterminadas o comunes.
Si las vulnerabilidades / bruteforce fallan o el hacker anterior ya ha pirateado y "asegurado" el servidor, sucede con frecuencia que los atacantes luego usan un "escáner de shell". Los escáneres de shell son scripts simples que verifican su servidor para una lista dada de nombres de archivos. Esos nombres de archivos son a menudo los que se usan comúnmente para webshells como el c99. Este es el momento en el que puede suceder que se encuentre su archivo oculto. No puedo pensar en ningún otro escenario en el que alguien empiece a buscar archivos ocultos sin una razón.