Все исполняемые файлы должны находтся вне корня сайта, вне прямого доступа веб-сервера
Те .гит диретокрия будет недоступна пользователю без доп настроек веб сервера
Куки
Часто куки "основного сайта" распространяются на его же сабдомены
Те клиент шлет 1-2кб куков на каждый запрос статики
При больших обьемах запросов - сильно накладно
С точки зрения безопасности - статика может быть скомпроментирована, но политика отдачи кук в браузере не даст скрипту с сервера статики прочитать куку пользователя
Для начала пишите все фичи без которых нельзя обойтись
Заказа
Показ списка товаров
Редактирование товаров в админке, одним админом (авторизация через nginx auth)
Без авторизации - если останется время добавить авторизацию по соцсетям
Без оплаты - не делать вообще
Напишите сценарии использования
Зашел
Нажал на кнопку
Заказал
Получил
Зашел в админку
Увидел заказ
Сменил ему статус
...
По списку юзкейсов определить какие модели нужны для хранения состояний
Номализовать БД
Сделать только адаптивный сайт на том фреймворке, который лучше знаете
Дальше, добавлять функционал
Если останется время - пощупать реакт натив
Как делают прямое взаимодействие между питон-си-голанг https://www.youtube.com/watch?v=CkDwb5koRTc
Данное видео должно навести на мысль, что лучше сделать все через внешний сервис, с которым оба ЯП взаимодействуют
Те: очереди, СУБД, сокеты, хттп, api over http
