O index.php no diretório de modelo só protege se alguém entra na raiz de um determinado diretório. No entanto, se eles sabem o nome exato do arquivo que está procurando, é muito possível que o conteúdo do arquivo será a saída para o navegador. Particularmente para os arquivos Smarty. Tpl.
Eu só pensei sobre isso porque eu vi que alguém tinha encontrado o meu site usando a frase "Powered by WHMCS" juntamente com o fato de que parece que muitos estão usando o Smarty {php} tag (não recomendado por Smarty autores btw) que pode incluir informações confidenciais.
De qualquer forma, a correção é simples, aqui é a forma mais rápida se você estiver usando um servidor apache com. Htaccess habilitado.
Coloque isso em seu arquivo htaccess. Na raiz do seu web site.
<Files ~ "\.tpl$"> Encomende permitir, negar Negar de todos </ Files>