A eso iba, lo pueden sacar con sniffer si, pero es una capa extra de seguridad, a parte de eso debería de poner una autentificación dentro del php para administrar los bots es verdad se me paso, será la tercera autentificación ya.

Edito: mm y yo que tengo algo en plan admin:398ryn283r, ¿cómo hago para dejarlo en "base64"? y poderlo usar en la cabecera   

Muchas gracias

Perfecto, supongo que habrá que meterlo todo gracias.