Hallo,
jetzt habe ich die vielen Beiträgen zum Thema Passwort gelesen und "bin so klug wie nie zuvor" (Faust).

Ersetze

    $mail->Host = 'smtp.example.com'; // hier eigenen SMTP-Server einstellen
    $mail->SMTPAuth = true; // SMTP mit Benutzerdaten verwenden
    $mail->Username = 'user@example.com'; // Benutzername für SMTP-Server
    $mail->Password = 'secret'; // Passwort für SMTP-Server

durch

reguire_once( '/Verzeichnis/ausserhalb/Document_root/.ht_db_data' );

und in der Datei '/Verzeichnis/ausserhalb/Document_root/.ht_db_data' notierst Du:

$mail->Host     = 'smtp.example.com'; // hier eigenen SMTP-Server einstellen
$mail->SMTPAuth = true; // SMTP mit Benutzerdaten verwenden
$mail->Username = 'user@example.com'; // Benutzername für SMTP-Server
$mail->Password = 'secret'; // Passwort für SMTP-Server

• Ja, das ist genau das gelöschte Zeug: [STRG]+[A] und [STRG]+[V] sind also gute Werkzeuge dafür.
• Der Name der Datei beginnt mit „.ht“ damit nicht gleich alles schief geht wenn jemand nicht weiß, was '/Verzeichnis/ausserhalb/Document_root/' bedeutet. Weißt Du es?

Im Übrigen würde ich stark dazu neigen,

} catch (Exception $e) {
    echo "Mail konnte nicht versandt werden. Mailer Error: {$mail->ErrorInfo}";
}

ebenfalls durch etwas wie

} catch( Exception $e ) {
     echo 'Sorry: Nachricht kann nicht verschickt werden. Mehr im Error-log.';
     ini_set( 'display_errors', 0 );
     trigger_error( $e, E_USER_ERROR );
}

zu ersetzen um einen Angreifer nicht notlos über den Grund des Scheiterns zu informieren. Bei Wladimir Putin ist das egal (der nimmt Tatsachen nicht mehr wahr) - aber Hacker lesen sowas und passen ihr Vorgehen ggf. an.

Dann hätte ich noch den Rat, sicherheitsrelevantes Zeug nicht selbst zu programmieren so lange Du nicht wenigstens mit den Grundbegriffen der Sprache (hier PHP) und der gesamten Technik vertraut bist (Webserver, User-Agent,...).

Also: Du brauchst jemand, der auskennt und sich Dein Zeug ansieht. Sonst gehst Du mit dem Teufel - um beim „Faust“ zu bleiben.