Даниил

Если злоумышленник установит свой сертификат на компьютер жертвы, то он сможет перехватить, расшифровать, и зашифровать трафик так, что ни сервер, ни пользователь не заметят.

Если злоумышленник не установит свой сертификат, то пользователь получит соответствующее сообщение, перед тем, как сайт будет открыт. Если пользователь проигнорирует все предупреждения и пройдёт через много уровней "обороны" с нажатием кнопок "да, я уверен, пустите меня", то злоумышленник точно также сможет перехватить.

В остальном всё безопасно. Вдвойне безопасно, если клиент проверяет, что подключение произошло именно с тем сертификатом, который ожидается.

В целом https-у вполне доверяют банковскую и всякую секретную государственную информацию (в этом случае вместо обычных сертификатов и шифрования используют специальные, но всё же)

Построение маршрутов нетривальная задача и для неё нужно огрмное число данных, так здесь вам придётся использовать API от владельцев этих данных(яндекс карты и тп).
Трекинг легче. Просто раз в какое-то время сохраняете координаты в базу данных. Расстояние считаете кусочками по формуле геверсинуса, пример с кодом www.movable-type.co.uk/scripts/latlong.html
Насчет лимитов. Сразу говорю вам не хватит, бесплатные лимиты чисто потестить с друзьями/тестерами. Ну и бюджет зависит от количество запросов, фич что вы используюете. Здесь тоже есть место для автоматизации и кеширования(в ущерб конечно интерактивность и удобства).
Можете начать с openStreetmaps и для интерфейса. У них даже есть краудсорсевые маршутрные сервисы https://wiki.openstreetmap.org/wiki/Routing https://wiki.openstreetmap.org/wiki/Routing/online...

В нормальных компаниях не следят с секундомером за работой сотрудников. Если от вас ждут нажимания кнопок 40 часов в неделю, а не выдачу запланированного объёма продуктов/решений, то надо бежать.

Судя по всему в константе WP_PLUGIN_DIR лежит физический путь до папки плагина, а вам нужен url - т.е. путь, который относительно сайта.
https://wp-kama.ru/function/plugin_dir_url - вот эту функцию попробуйте

Скорее всего вам нужно что-то типа:

function my_plugin_activate() {
  ob_start(); //если нужно в возвращаемом значении иметь строку
  include /path/to/html; //путь куда сохраните ваш "мой js + html"
  return ob_get_clean(); // если надо просто вставлять код, то 1 и 3 строки функции не нужны
}

function interVal () {
        wrpArray.splice(-1, 0, wrpArray.splice(-1, 1, [Date.UTC(year, month, day, hours, minutes), 22.65, 23.7, 22.65, 23.36]));
        console.log(wrpArray);
    }
setInterval(interVal, 1000);