При работе через ajax, нужно обязательно хотя бы пройти проверки Check nonce, иначе сайт очень уязвим для взлома.
Подробнее как работать с ajax описано здесь https://wp-kama.ru/id_2018/ajax-v-wordpress.html

Также можно смотреть как сделано у нас уже для бакенда.

1. Идет запрос через ajax, по мимо других переменных в нем добавляются и название функции php и nonce
   

2. Далее в php ajax проверяется nonce
   

3. Здесь не понятно какие данные попадут в file_get_contents('php://input') лучше за ранее знать какие параметры приходят в каком формате и также почистить хотябы както до добавления в базу.
   
   если приходит json то не нужно пройти через json_decode, можно json сразу в базе сохранить.

Стили не добавлять прямо в теги, только в очень крайних случаях когда без этого некуда,

добавить все в /assets/admin.css или для front style.css и использовать классы с префиксом mcwallet-

Ну и так как нужно стараться командой держать один стиль написания кода,
Пока только три моменты.

1. Названия файлов не нужно camelCase userPanel.php а user-panel.php

2. Всегда хуки и фильтры добавляем после функции не перед ней.
   

3. Открывающие фигурные скобки функции не переносим в новую строку а оставляем в тотже ряд что и функция.
   

Пока на данный момент все, если будут вопросы пишите.

по nonce нужно сделать что бы реакт отправлял nonce на мой хук, остальное +