Dipende da cosa contiene il file. Se ogni file nella directory public_html è un file destinato alla divulgazione pubblica, nel suo contenuto originale, in chiaro, allora sì, con tutti i mezzi. Ma per qualsiasi sito Web che esegue un CMS o simili, ci sono probabilmente file che contengono informazioni che non si vogliono distribuire - come le informazioni di configurazione per un database su un sito Web WordPress o Drupal. Sarebbe sciocco affidarsi solo a un nome di file improbabile per proteggere i tuoi dati.
Alcuni servizi di backup manterranno i file .zip in una directory pubblica, ma utilizzeranno una sorta di protezione all'interno di .htaccess (nega da tutti) per impedire l'accesso a questi. Questo è meglio di niente, ma ancora insufficiente, perché una piccola modifica alla configurazione del server (cambiando la configurazione di AllowOverride) renderebbe il file .htaccess impotente per controllare l'accesso alla directory, e i file .zip sarebbero accessibili.
La mia raccomandazione: tenere i file ZIP fuori dalla webroot pubblica, mantenere le autorizzazioni 600 per questi file e aggiungere un .htaccess con una direttiva "deny from all" nella cartella come failsafe.