Cita: Básicamente lo que quiero saber es si hay alguna forma de comprobar que estos llamados ya sea a través de un action desde un formulario o de una function ajax vienen efectivamente desde la web principal.
En teoría se puede pero es poco confiable, se trata del $_SERVER['HTTP_REFERER'] pero dicho valor puede ser simulado usando cURL por decir algo.
La única forma aceptable de corregir eso es implementar una técnica que se le conoce como CSRF, así que te tocará investigar más al respecto.