По мне так извращение, сколько знаю панелей, везде можно указать рутовую папку для домена.
"создаете папку например "yii2" рядом с public_html туда копируете проект"
при этом приложение не перестает быть в корне домена и доступным для всех, просто вкладывается глубже.
При правильно настроенном .htaccess корень смотрит в /frontend/web и приложение недоступно извне.
Если уж очень хочется приложение не размещать в корне, ставите домен на /frontend/web, а бэкенд настраиваете через .htaccess.
Судя по всему, вопрос безопасности особо и не стоит, делайте тогда, как удобно, а не как надо, - пашед и ладно.