看起来你可以，虽然我从未尝试过。挖通后wp-login.php 还有其他一些文件，我找到了sanitize_user 函数和过滤器。以下是/wp-includes/formatting.php （截至撰写本文时，第888行）：

删除标记、八位字节、实体，如果启用了strict，则只保留字母数字、\\u0、空格、、、-、@。清理后，它将用户名、原始用户名（参数中的用户名）和$strict值作为“sanitize\\u user”过滤器的参数传递。

这是过滤器，函数的最后一行：

apply_filters( \'sanitize_user\', $username, $raw_username, $strict );

因此，您显然需要注意对用户名进行适当的清理（并且可能应该说明何时$strict 是true), 但是您可以覆盖从登录表单和其他表单传递到WordPress上的用户名（也就是说，要小心，注意一些意想不到的事情）。