Infatti, vi ringrazio per la conferma, avevo bisogno di un parere esperto, mi era venuto questo dubbio, ma dato che tutti e tre la pensiamo nello stesso modo, via le API per il Backend.

Magari vi devio un po la domanda:
Oltre ad un login sicuro, un .htaccess che gestisce i permessi delle directory e dei file, cosa posso fare per impedire che mi buchino il Backend??