Лично я делаю их отдельно.Это требует больше работы, но API администратора, который обычно имеет более мощные функции, тогда полностью отделен.Затем вы можете добавить некоторые дополнительные средства защиты (VPN, белый список IP-адресов, ...?) На сервер API администратора.
Я также стремлюсь сделать веб-сайт администратора доступным только через VPN.
Обратите внимание, что это не предотвращает взлом, в лучшем случае это усложняет, но я считаю, что это стоит.