Это не совсем короткий рассказ или относительно легкий для объяснения (тем более, что я ни в коем случае не эксперт). Тем не менее, основы в том, что принято принимать участие в безопасном протоколе cookie.
Эта статья: http://www.cse.msu.edu/~alexliu/publications/Cookie/cookie.pdf резюмирует это лучше, чем я когда-либо мог, и стоит прочитать.
Статья WP Codex на http://codex.wordpress.org/WordPress_Cookies кратко объясняет, что происходит (но для последних версий требуется обновление). Как вы можете видеть, это происходит из-за практики использования одного cookie-файла для имени пользователя и одного для пароля (который в случае WP имеет двойное хеширование). Как вы сказали, это было изменено на один файл cookie, содержащий все данные для входа, и один для 'logged_in'.
Файл cookie logged_in предназначен для внешнего интерфейса сайта, а другой - для области wp-admin (вы должны увидеть это в части «cookie» домена). Который, я думаю, является «ответом» на ваш вопрос. Это не совсем необходимо, но лучше для безопасности (чем больше, тем лучше, правда? :)), а также, возможно, немного более эффективно.