Risposte:
Utilizza cookie non elaborati e memorizza il lato client delle informazioni sullo stato di accesso.
wordpress_7339a175323c25a8547b5a6d26c49afa = yourusername% 7C1457109155% 7C170f103ef3dc57cdb1835662d97c1e13;
Il sale è nel tuo file wp-config.php:
/**#@+
* Authentication Unique Keys and Salts.
*
* Change these to different unique phrases!
* You can generate these using the {@link https://api.wordpress.org/secret-key/1.1/salt/ WordPress.org secret-key service}
* You can change these at any point in time to invalidate all existing cookies. This will force all users to have to log in again.
*
* @since 2.6.0
*/
define('AUTH_KEY', 'put your unique phrase here');
define('SECURE_AUTH_KEY', 'put your unique phrase here');
define('LOGGED_IN_KEY', 'put your unique phrase here');
define('NONCE_KEY', 'put your unique phrase here');
define('AUTH_SALT', 'put your unique phrase here');
define('SECURE_AUTH_SALT', 'put your unique phrase here');
define('LOGGED_IN_SALT', 'put your unique phrase here');
define('NONCE_SALT', 'put your unique phrase here');
Il cookie di autenticazione, il cui nome è memorizzato all'interno di AUTH_COOKIE, che si forma concatenando "wordpress_" con la somma md5 del siteurl impostata in default-constants.php. Questo è il comportamento predefinito e può essere sostituito dall'interno del file di configurazione, impostando alcune costanti in anticipo.
Il cookie di autenticazione è una concatenazione del nome utente, un timestamp fino al quale il cookie di autenticazione è valido. E un HMAC, che è una specie di hash distorto dalla chiave per coloro che hanno estratto un TL; DR in questo momento. Le tre variabili sono concatenate con il carattere pipe |.
Ecco come è costruito l'HMAC:
$hash = hash_hmac('md5', $username . '|' . $expiration, wp_hash($username . substr($user->user_pass, 8, 4) . '|' . $expiration, $scheme));
Secondo questo articolo in cui la maggior parte delle informazioni in questa risposta provengono, ci vorrebbe un hacker circa una settimana per forzare la forza nell'inviare 30 richieste al secondo se sapessero qual è la tua frase unica e 200.000.000.000.000.000.000.000.000.000.000.000 di volte più difficili se le tue chiavi sono uniche.
I cookie sono solo l'archiviazione sul lato client dei dati di sessione ... Cookie di WordPress
In effetti, si possono avere cookie senza sessioni, ma nessuna sessione senza cookie.
session_start()
esplicitamente. Ora, ovviamente, wordpress non ha da session_start()
nessuna parte nel suo nucleo. Vedi dove mi confondo il tuo ultimo commento?