Повторный заказ без входа на сайт

Не делайте вот это - автологин по email. Это очень очень плохая методика, вы верно пишите про не секьюрно.

Пока надо увеличить время жизни куки логина - сейчас стоит неделя.

Вот тут поставьте

// Live time for permanent cookies (currency, language, etc…)
define(‘COOKIE_ALIVE_TIME’, SECONDS_IN_DAY * 7); // one week

Самый хороший для вас вариант судя по всему- вечный логин (по аналогии например с вконтакте или facebook)
Если человек вернулся на сайт - обновлять куку логина (делать ее рефреш автоматически, продлевать срок жизни). Мы так делали, в целом если ставить COOKIE_ALIVE_TIME = 28 days и человек достаточно часто возвращается, его будет редко разлогинивать.

2 лайка