wp_authenticate_username_password 在里面wp-includes/user.php 和wp_check_password 在里面pluggable.php

我建议不要干预这些，除非你删除wordpress用户身份验证并加入自己的身份验证，例如。http://wordpress.org/extend/plugins/simple-ldap-login/. 最好的情况是，不使用admin用户名，使第一个帐户成为非超级管理员，不使用wp\\udatabase前缀，将salt值放入wp config。php和正确设置文件夹权限/htaccess对您的帮助要大得多。

如果黑客可以访问你的加密密码哈希，那么你已经输掉了这场战斗。

WordPress使用phppass来存储密码，而密码实际上是blowfish可变密钥长度密码，如果您担心blowfish被破解，那么您可能不应该使用WordPress。如果出于某种原因你不喜欢河豚，你可以替代它，但要改善它，那是不太可能的。