As configurações de tema estão disponíveis para o aplicativo JS do cliente, então isso significa que qualquer visitante do seu site pode verificar o código-fonte para vê-las. Você quase certamente não quer colocar uma chave de API lá.
A exceção seria para chaves de API que são destinadas ao uso do lado do cliente e, portanto, não representam uma preocupação se alguém obtiver acesso a elas (por exemplo, Giphy, incorporações do Google Maps, etc.)