2014 年 12 月 18 日服务器故障、20 日恢复以来,blog 的注册一直处于关闭状态。这是由于本次故障的部分原因与遭受资源耗尽攻击有关,该攻击利用了 blog 注册流程中的一处漏洞:填写任意 E-mail 地址,在收到激活邮件的同时,blog 的数据库和文件已经被创建,只是处于未激活状态。当初如此设计,是为了让用户在点击激活邮件后,可以立即开始使用 blog,而无需等待安装。

由于安全架构的原因,blog 注册系统只能通过几个特定的接口访问数据库,因此不能把用户的注册信息保存进数据库里。为了让用户点击激活链接后无需重新输入注册信息就能完成注册,需要把用户的注册信息编码在激活链接里。由于注册信息中包含明文密码,而 blog 安装过程中需要把明文密码交给 WordPress 安装程序,我们对注册信息使用仅服务器知道的密钥进行加密。用户点击激活链接后,服务器从链接中解码、解密注册信息,完成之前的注册和激活步骤。