Lo que dice NSD de registrar la ip donde se ejecuta la aplicación es la opción más asequible. Fácil de implementar y difícil de saltarse. Yo la técnica la utilicé hace seis años con un tpv web y a día de hoy sigue siendo seguro. Esto se me ocurrió de aquellas porque en cpanel puedes dejar que un servidor externo acceda a mysql si especificas la ip donde se realizan las peticiones.
Incluso hay plugins javascript que, siendo de lado cliente, mejoraron el sistema minimizando todo el código y con petición Ajax xhr que verifica el dominio autorizado.
El php también se puede minimizar.
Espero te sirva.