Не делайте вот это - автологин по email. Это очень очень плохая методика, вы верно пишите про не секьюрно.
Пока надо увеличить время жизни куки логина - сейчас стоит неделя.
Вот тут поставьте
// Live time for permanent cookies (currency, language, etc…)
define(‘COOKIE_ALIVE_TIME’, SECONDS_IN_DAY * 7); // one week
Самый хороший для вас вариант судя по всему- вечный логин (по аналогии например с вконтакте или facebook)
Если человек вернулся на сайт - обновлять куку логина (делать ее рефреш автоматически, продлевать срок жизни). Мы так делали, в целом если ставить COOKIE_ALIVE_TIME = 28 days и человек достаточно часто возвращается, его будет редко разлогинивать.