Theme-Einstellungen sind in der Client-JS-App verfügbar, das bedeutet, dass jeder Besucher Ihrer Website den Quellcode einsehen kann. Sie möchten wahrscheinlich keinen API-Schlüssel dort platzieren.
Die Ausnahme wären API-Schlüssel, die entwickelt wurden, um clientseitig verwendet zu werden, und daher kein Problem darstellen, wenn jemand Zugriff darauf erhält (z.B. Giphy, Google Maps Einbettungen usw.)