Das einzige Problem, dass ich hier sehe ist, dass du mit einer Domain nicht zwei Server ansprechen kannst. Ich verstehe aber auch nicht, welche „Sicherheitsgründe“ für die Einbindung eines zweiten Servers sprechen würden.

Da WP open source ist möchte ich es gerne ausgelagert wissen.

Sorry, aber dieser Satz ergibt für mich keinen Sinn.
Du würdest einer auch für professionelle Zwecke millionenfach eingesetzten Software, deren Code für alle offen einsehbar ist, weniger vertrauen als einer Software, deren Code du nicht kennst? Warum?

Es befinden sich Kundendaten auf dem Server.

Dir ist schon bekannt, dass mit WooCommerce und anderen e-Commerce-Plugin tausende Websites „mit Kundendaten auf dem Server“ betrieben werden?

Meine Idee wäre alles auf eine andere Domain zu installieren und von /blog auf diese umzuleiten

Mit einer anderen Domain wäre das kein Problem, auch wenn ich den Zweck nicht ganz verstehe.

in der URL-Leiste im Browser sollte dann allerdings meineDomain.co/blog angezeigt werden und nicht die separate Domain.

Sollte theoretisch funktionieren, auch wenn ich es so noch nie gesehen habe. Allerdings könnte ich mir vorstellen, dass es da diverse Probleme gibt, die du lösen müsstest (z.B. gemischte Inhalte, die bei Verwendung eines SSL-Zertifikats nicht angezeigt werden).
Aber ganz ehrlich: ich halte das für überhaupt keine gute Idee.

Wenn du so arges Misstrauen gegenüber WordPress (oder OpenSource allgemein?) hast, solltest du dir vielleicht auch eine andere Lösung überlegen.

Ich habe gar nicht die Absicht, dich zu belehren. Aber ich kann die Argumentation „Da WP open source ist möchte ich es gerne ausgelagert wissen.“ nicht nachvollziehen.

Es gibt einerseits eine Reihe von Good Practice, um WordPress-Websites gegen Angriffe zu schützen: regelmäßige Aktualisierungen, starke Passwörter, keine Themes und Plugins aus unbekannten Quellen, nur soviel Plugins wie nötig, verschlüsselte Verbindungen (https) nutzen. Andererseits gibt es zahlreiche Tipps, wie du deine Website noch besser gegen Angriffe schützen kannst (z.B. WordPress Sicherheit – 19 Schritte zum Verriegeln Deiner Website ).

WordPress wird häufiger gehackt, als andere Content Management Systeme. Ursachen sind der deutlich größere Marktanteil (WordPress 64% des CMS-Markts, Joomla 4,6% ,Drupal 3,0%, Squarespace 2,7%, Wix 2,3%), die größere Anzahl an Plugins (WordPress 58.000 Plugins, Drupal 47.000 Modules, joomla 6.000 Extensions) und die Tatsache, dass eine weitere Verbreitung die Automatisierung eines Angriffs lukrativer macht. Grundsätzlich ist WordPress auch ohne weitere Absicherung sicher, wenn du die oben genannten Good Practices berücksichtigst.

Eine 100%ige Sicherheit wirst du nirgendwo bekommen, auch nicht bei anderen Content Management Systemen. Deshalb empfehlen wir immer, zeitnah Backups zu machen. Dass es grundsätzlich kritisch zu sehen ist, wenn du Kundendaten auf einem Webserver vorhältst, ist dir sicher bekannt.

Es spricht nichts dagegen, WordPress in einem Unterverzeichnis zu installieren. Allerdings enthalten dann die URLs zu allen Webseiten und Beiträgen den Verzeichnisnamen (z.B. https://example.com/blog/ueber-mich – natürlich mit deiner Domain).