Ça dépend de la spéc initiale, je te l'accorde 
Le problème n'est pas que chacun veuille un truc différent, mais que la doc et les libellés des options du plugin ne sont pas très (ou plus très) précis sur ce qui est effectivement protégé ou pas.
Je cite : « les accès aux images et documents du site vont tous générer un accès à la base de données (pour savoir si les documents concernés peuvent être vus) »
On peut l'interpréter de plusieurs façons, non ?
Je pense que ça devrait être plus clair, et que l'utilisation de la constante ACCES_RESTREINT_FORCE_AUTORISE devrait être documenté, pour que les utilisateurs sachent exactement ce qui est protégé ou pas (avec la mise en garde de performances qui va bien).
Et en terme de clarté, l'option de plugin qui parle de créer des htpasswd serait peut être à réécrire, qu'en penses tu ?
J'ai essayé de suivre un peu ce qui se passe dans le code en fonction de ces deux options, mais c'est assez complexe, avec aussi l'intervention d'une autre meta (creer_htaccess) qui n'est déclarée nulle part...