Por lo que puedo decir, no hay opción para reducir el alcance de una clave de API para que maneje desactivaciones, esa no es una de las opciones disponibles, pero una clave global de todos modos no funciona. (Las API necesitan trabajo, en mi humilde opinión).
No sé dónde está el código deactivate.json, una búsqueda en mi servidor no lo encuentra, así que aparentemente no es un archivo separado. Me pregunto si hay algo específico en que este sea un segundo sitio que no sea correcto, porque funcionó muy bien en el sitio predeterminado.
Sin embargo, no sería el primer problema que encuentro con los segundos sitios, aunque no estoy seguro de si alguien llegó a registrar el primero como un problema, tiene que ver con el código en un archivo de configuración de nginx que verifica que el nombre de dominio en la URL sea el predeterminado, simplemente comento esas líneas de código cada vez que hago una reconstrucción. Informé este problema en esta publicación: