前提

wordpressのプラグイン開発をしています。
外部システムのAPIを叩きたいのですが
API KEYの保管方法のベストプラクティスが見つけられず質問させていただきます。

APIについて

取得、編集、追加、削除が使えるシンプルなものです。
現状データの内容は基本的には公開情報が保存されます。

環境

Xserverのスタンダードプランを検討しております。
他におすすめがあれば伺いたいです。

試したこと

.bash_profileに

shell
1
2#.bash_profile
3
4export TEST="test"
5

を追加し

shell
1
2$source .bash_profile
3$printenv
4TEST=test
5

は確認できましたが
プラグイン内からphpでget_env関数を呼び出してもfalseが返ってきてしまいます。

php
1
2$os_getenv = getenv('TEST', true);
3var_dump($os_getenv);//false
4

試したこと2

これはローカルmac上でテスト的に試したのですが
phpdotenvというパッケージをインストールして
.envファイルを作成しgetenv関数から呼び出すことは出来ました。

現状自分で考えた案

xserverのホームディレクトリ(binディレクトリがある階層、public_htmlのひとつ上の階層)に
パーミッション400で.envファイルを設置し
そこにAPI=KEYで保存してphpdotenvというパッケージ経由でgetenvで読み出す。

こうした理由として
ホームディレクトリであれば公開ディレクトリより上なので
ディレクトリトラバーサルのリスクが軽減できそうかなと考えました。

質問

以下質問させていただきたいこととなります。

・パッケージを使わないでLinuxの環境変数をPHPから呼び出す方法はありますでしょうか。
・API KEYを保管する（APIを叩いてデータを取得する）サイトがレンタルサーバで運用されるのは珍しいことでしょうか。
・おすすめのサーバをご教授いただけましたら幸いです。
・他セキュリティの観点から危ない箇所、気をつけるべきところなどがありましたらお願いいたします。
こちらツッコミどころの数がたくさんある場合はリスク順に上位ベスト3をお願いいたします。

不足情報などもありましたらお手数ですがご指摘をお願いいたします。