Что лучше — REST API или GraphQL для маленького проекта?

Безопасность: не храни пароли и токены в коде/гите — используй .env файл и .gitignore. Все секреты крутить через переменные окружения. На сервере держи минимум открытых портов, fail2ban и ufw помогают почти даром. Двухфакторку включи везде где возможно (Google, GitHub, банк) — экономит нервы потом, когда фишинг придёт.