Du benutzt ja VHOST, un derjenige welche der das webadmin.php benutzt musst du innerhalb seines VHOST auch einschränken.
Das geschieht mittels
NameVirtualHost *:80
<VirtualHost *:80>
ServerName freund.dyndns.org
ServerAlias freund.dyndns.org
ServerAdmin
du@mailadresse.de
DocumentRoot C:/xampp/htdocs/unterverzeichnis/freund
<Directory C:/xampp/htdocs/unterverzeichnis/freund/>
php_admin_value open_basedir C:/xampp/htdocs/unterverzeichnis/freund/
Options +Indexes
</Directory>
</VirtualHost>
Der rote eintrag sorgt dafür das er mit seinem webadmin auch nur innerhalb dieses VHOST Directory arbeiten darf.
Zudem sollte in der php.ini die sicherheit eingeschaltet sein
mode_save= On
Ohne diesen Eintrag könnte ein User/Kunde durch eine einfach .htaccess Anweisung deine Einschränkung umgehen.