Как запретить регистрацию без подтверждения email в WordPress: пошаговое решение

Автор: Константин Кузнецов | Опубликовано: 22.06.2026

Диагностика проблемы: почему важна верификация email при регистрации

По умолчанию WordPress разрешает регистрацию пользователей без обязательного подтверждения email. Это часто приводит к спаму, созданию фейковых аккаунтов и, как следствие, к проблемам с безопасностью и нагрузкой на сайт. Если в вашей установке активно открыта регистрация, отсутствие подтверждения email — частая причина появления нежелательных учетных записей.

Чтобы проверить, есть ли проблема, зайдите в админ-панель WordPress в раздел Пользователи и посмотрите список зарегистрированных пользователей. Если вы видите много незнакомых аккаунтов с подозрительными адресами (например, randomstring@domain.com), скорее всего, регистрация без проверки email включена.

Пошаговое решение: добавляем подтверждение email при регистрации

1. Отключаем стандартную регистрацию без подтверждения

В админке перейдите в Настройки > Общие и убедитесь, что включена регистрация пользователей. Затем отключим автоматический вход без проверки email.

2. Реализация механизма подтверждения email через код

Добавьте в файл functions.php вашей темы или в кастомный плагин следующий код:

add_action('user_register', 'send_email_confirmation_to_new_user');
function send_email_confirmation_to_new_user($user_id) {
    $user = get_userdata($user_id);
    $token = wp_generate_password(20, false);
    update_user_meta($user_id, 'email_confirmation_token', $token);
    update_user_meta($user_id, 'email_confirmed', 0);

    $confirmation_link = add_query_arg(array(
        'email_confirm' => $token,
        'user' => $user_id
    ), site_url('/'));

    wp_mail($user->user_email, 'Подтвердите ваш email', 'Для подтверждения регистрации перейдите по ссылке: ' . $confirmation_link);
    // Блокируем пользователя до подтверждения
    wp_update_user(array('ID' => $user_id, 'role' => '')); 
}

3. Обработка подтверждения по ссылке

Добавьте обработчик на фронтенде, например, в functions.php:

add_action('init', 'handle_email_confirmation');
function handle_email_confirmation() {
    if (isset($_GET['email_confirm']) && isset($_GET['user'])) {
        $user_id = intval($_GET['user']);
        $token = sanitize_text_field($_GET['email_confirm']);
        $saved_token = get_user_meta($user_id, 'email_confirmation_token', true);

        if ($saved_token === $token) {
            update_user_meta($user_id, 'email_confirmed', 1);
            // Восстанавливаем роль подписчика
            $user = new WP_User($user_id);
            $user->set_role('subscriber');
            delete_user_meta($user_id, 'email_confirmation_token');
            wp_redirect(home_url('?confirmation=success'));
            exit;
        } else {
            wp_redirect(home_url('?confirmation=failed'));
            exit;
        }
    }
}

Проверка результата после внедрения

Зарегистрируйте нового пользователя через форму регистрации.
Проверьте, что на указанный email пришло письмо с подтверждением и ссылкой.
Попытайтесь войти под этим пользователем до подтверждения — вход должен быть заблокирован (роли нет).
Перейдите по ссылке подтверждения из письма, после чего пользователь получит роль subscriber и сможет войти.

Также проверьте список пользователей в админ-панели: неподтвержденные пользователи должны иметь пустую роль.

Частые ошибки и как их исправить

Пользователь не получает письмо с подтверждением: проверьте работу почтового сервера, используйте SMTP-плагин (например, WP Mail SMTP).
Ссылка подтверждения приводит к ошибке 404: убедитесь, что ссылка генерируется на существующий URL и что нет конфликтов с правилами пермалинков.
Пользователь не блокируется до подтверждения: проверьте, что роль действительно очищается в момент регистрации, и что нет плагинов, которые автоматически дают роль.
Пользователь не может войти после подтверждения: убедитесь, что роль устанавливается корректно, и что нет конфликтов с другими плагинами безопасности или управления ролями.

Практические советы по безопасности и производительности

Не допускайте хранения токенов подтверждения в открытом виде дольше, чем необходимо. Можно добавить cron-задачу для удаления старых неподтвержденных пользователей.
Ограничьте количество регистраций с одного IP, чтобы снизить риск спама.
Используйте SMTP-сервер для отправки писем — это повысит доставляемость.
Если у вас WooCommerce, дополнительно синхронизируйте роли клиентов с подтверждением email.

Сравнение вариантов реализации подтверждения email

Способ	Плюсы	Минусы
Код на functions.php	Полный контроль, бесплатно, легко кастомизировать	Нужно писать и поддерживать код, требует знаний
Плагин (например, WP Email Verification)	Быстрая установка, готовый функционал	Может конфликтовать с другими плагинами, нагрузка, не всегда гибко
Сторонний сервис (например, Auth0)	Максимальная безопасность и функциональность	Сложная интеграция, возможны дополнительные расходы