その際、sample.phpのファイルは

①：アクセス禁止もしくはheaderでindex.phpに飛ばすなどの処理をするのが普通なのでしょうか。一般的な処理方法が知りたいです。そのままなのでしょうか。

ここは一般的にこうという方法はなく、様々な方法が採用されています。
sample.phpを別ファイルにすることによるリスクは、sample.phpを直接外部からアクセスされることですから、以下のようなアプローチが考えられます。

(1)外部から直接アクセスされても困らないように作る
sample.phpの中身が関数やクラス、定数、変数などの「宣言」のみであれば、外部から直接アクセスされても何も起こりません。このような場合、特別な対処をしないというアプローチはありえます。代表例としては、WordPressの設定ファイルである wp-config.php が該当します。
この方法の欠点は、宣言のみのつもりだったが実際にはそうでなかった場合にリスクが生じることです。

(2)外部からアクセスできない場所に設置する
上記(1)に該当するかしないかに関わらず、外部からアクセスできない場所（DocumentRootでないディレクトリ）に設置するのはもっとも安全な方法で、あらゆる場合に推奨できる方法です。

(3).htaccessなどでアクセス制御する
私はあまり好みではありませんが、.htaccess等でアクセス制御する方法もあります。
なぜ好みでないかというと、サーバー移行などの際に、アクセス制御が外れるなどのリスクがあるからです。

(4)直接アクセスを検知するロジックを組み込む
外部から直接アクセスされたことを検知して、直接アクセスの場合は直ちに終了するという方法もあります。
様々な環境で使用されるライブラリを作成する場合は、(1)を基本として、予防的に(4)を組み込んでおくと
よいでしょう。特定環境でしか使わないのであれば、(2)をお勧めします。この場合、(1)と(4)はやっても、やらなくても結構です。

②：読み込むファイルは最低限のhtmlタグ構成のみで問題ないのでしょうか。例えばmeta discriptionはなしにして、<title>..</title>の中は空白でも問題ないのでしょうか。

sample.phpとindex.phpの役割分担にもよりますが、通常、外部からincludeするファイルはクラスや関数の宣言にとどめ、HTMLファイルは置かないのが一般的ではないでしょうか。
質問者さんのサンプルを動かしてみると、下記のように不要なタグが多く出てきています。これはおそらく、意図した結果ではないと思います。

HTML
1<!DOCTYPE html>
2<html>
3  <head>
4    <meta charset="utf-8">
5    <title></title>
6  </head>
7  <body>
8        <!DOCTYPE html>
9<html>
10  <head>
11    <meta charset="utf-8">
12    <title></title>
13  </head>
14  <body>
15
16//　中身吐き出し
17
18  </body>
19</html>
20  </body>
21</html>