Recomendo o uso também de passar um codígo de auteticação, bloqueando que coloquem um email de um usúario logado adicionando esse codígo no site no começo do script
define('AUTHLOGINTOKEN', 'PALAVRA_ALEATORIA');
if($_GET['token'] == AUTHLOGINTOKEN){
// CODIGO DO SCRIPT
}else{
// ERRO - User não se autenticou pelo sistema
}
Para autenticar passe a url do arquivo, no seu exemplo é MOODLE_URL/_extra/logar_email.php?email=XXXXXX mas acrecente após o email &token=PALAVRA_ALEATORIA
Troque a PALAVRA_ALEATORIA por uma palavra aleatoria ou um token