Николай Савельев

Если на сайте установлены трекеры, а пользователь их не отключил через блокировщик, то узнать можно очень и очень много. Практически всё.
А если пользователь разрешил дать геолокацию, доступ к камере и микрофону, то за ним можно наблюдать в реальном времени.
Какую задачу решаешь?

Можно на сокетах, но это сложнее на бэке делать.
Проще всего простой REST-API. Но здесь придётся опрашивать сервер с некоторой периодичность, которая для тебя с твоей нагрузкой не критична

Да, перехватить можно, если злоумышленник установил у вас свои SSL-сертификаты.
Это можно сделать разными способами. Вплоть до законодательного уровня, как это сделано в некоторых странах.
В целом, получается так, что ваш траффик могут прослушивать, но ты об этом будешь знать, потому что там десять линий защиты от этого.
И, чтобы установить SSL-сертификат для прослушивания твоего траффика, надо об этом знать и сознательно на это пойти.

Wordpress

POST-запросом