В похожей ситуации мы ни до чего лучше не додумались как вынести взаимодействие с таким АПИ на отдельный домен, на отдельном ВДС, запросы на который с сайта шли через почти такое же АПИ, лишь чуть подправленное.
Удаленный безопасный сервер сломать сложнее ибо там меньше точек соприкосновения, принимает запросы он только от нашего сайта и т.п. Конечно имея реквизиты полученные на сайте и внеся изменения в сам сайт можно отправлять свои запросы, но не все взломы позволяют изменять код, плюс на защищенной стороне были добавлены несколько эвристик на подозрительные запросы, на количество запросов за период, объемы и т.п. Что-то получало задержку, что-то выполнялось но с отправкой смс администратору…
