xmoonlight

Надо понимать устройство сайта со стороны архитектуры.
Вот.

https://sitecoder.blogspot.ru/2016/09/rest-api.html

1. Установите инструменты анализа скорости от Google и протестируйте: что именно замедляет загрузку. Действуйте указаниям и подсказкам системы.
2. Активируйте gzip: инструкция

Чтобы получить ответ, нужно грамотно задать вопрос: Вы это сделали!

Каким образом лучше хранить эти несколько версий баз товаров?

В нескольких базах!

Впитал в себя документацию php.net, попрактиковался, что делать дальше не знаю.

Вы так или иначе, на каком-то уровне изучили ИНСТРУМЕНТ КОДИРОВАНИЯ ЛОГИКИ: PHP.
Теперь, изучайте ПРОГРАММИРОВАНИЕ и проверяйте на изученном инструменте!

Открою тайну: через .htaccess можно прописывать октеты и подсети!
Вы можете прописать (точка в конце - ОБЯЗАТЕЛЬНА!): xxx.xxx.xxx.
или xxx.xxx.xxx.0/24 и т.д.
И таким образом разрешить доступ только для своей подсети.

И вопрос: откуда "предприимчивые граждане" знают ссылку к Вашей админке?)

else die("неверная комбинация имя пользователя-пароль");

Вот поэтому. die() - завершает работу скрипта с выдачей строки на экран.

iframe только, нативно - нельзя получить имя файла с видео (на сколько я помню).

Советую попробовать вот этот: AJAX Chat
(он же на github: https://github.com/Frug/AJAX-Chat )

Проверяйте временные счётчики и отработку событий на JS!

1. поле: почта или логин
2. капча
3. кнопка отправки
на сервере:
1. проверка периодичности отправки по IP, по юзеру/почте,
2. если верно - приходит письмо со ссылкой, содержащей хэш, для последующей смены пароля после перехода по ней. И никаких логинов и паролей в письме!
3. после перехода - проверяется сессия: если запрос пароля из этой сессии - СРАЗУ выполняется автоматический вход в систему с надписью, что "доступ восстановлен" и две кнопки (или линка): "перейти в ЛК" и "На главную", если сессия новая - предлагается ввести логин или почту (в зависимости от того, что было введено при запросе процедуры смены пароля изначально).

1. Парсите через ajax с интерфейса пользователя при просмотре фоток.
2. Периодичность необходимости парсинга - контролируйте на стороне сервера.

Сторонний микрофреймворк для инкапсуляции зависимостей.
А логика - только в своём коде!

Фасетный фильтр: https://habrahabr.ru/post/122531/

CMS Joomla! и всё это - можно реализовать.
Только НУЖНО ЗНАТЬ! эту CMS!
А не так, что:
"Joomla, да, слышал! конечно будет работать!",
а потом:
"...делали на CMS Joomla! - оказалось полное гумно :("