假设您没有做愚蠢的事情，并且正确使用了相关的API，AJAX登录表单可以像“核心”登录表单一样安全。

传输数据的方式本身并不重要。即使是HTTP，尽管人们和谷歌会声称它不安全，但使用2FA、一次性密码，或者只使用自己的手机连接，而不是咖啡馆/工作WiFi/网络，也可能足够安全。在任何情况下，这都由网站所有者决定。

关于第3点，wp_signon 是正确的，从那里应该完成所有cookie的身份验证和设置。

在使用AJAX时需要记住的一点是，如果不做一些额外的工作，成功的登录本身不会反映UI中的新状态，最简单的方法可能是刷新页面，这会使整个AJAX想法变得不那么吸引人。

您将面临的另一个障碍是错误报告，如用户/密码不匹配，您需要设法将登录错误传输到前端，并以足够通用的方式让其他登录相关插件添加自己的错误。

如果听起来我反对通过AJAX登录，那么我想我是反对的，但这只是我个人的观点，从技术上讲，这并没有什么不可能或不安全的地方。