Logowanie bez hasła w WordPressie – konfiguracja passkeys (WebAuthn)

Zwykłe logowanie przez login i hasło to słabe ogniwo WP. Passkeys wycinają hasło - logujesz się twarzą, odciskiem palca lub kluczem sprzętowym.
1. Czym są passkeys?
Jest to para kluczy - publiczny na serwerze i prywatny na Twoim urządzeniu. Rozwiązanie działa natywnie w przeglądarkach Google Chrome, Safari, Edge i systemach Android 13+, iOS 17+ i Windows 11+.
Rozwiązanie wprowadza wysokie standardy bezpieczeństwa, ponieważ jest odporne na phishing i wycieki. Nawet jeśli ktoś pozna Twój login / nazwę użytkownika / adres e-mail - to nie przechwyci Twojego prywatnego klucza.
2. Wymagania
- WordPress ≥ 6.4 (REST API włączone),
- PHP 8.1+ z openssl i json,
- Certyfikat SSL – https jest obowiązkowe (połączenie WebAuthn wymaga TLS),
- Przeglądarka / urządzenie z obsługą WebAuthn (Windows Hello, Touch ID, Android Passkey).
3. Instalacja wtyczki
Zrobimy takie zabezpieczenie na bazie wtyczki Secure Passkeys (jest w pełni darmowa, ma ocenę 5/5 na dzień pisania porady). W panelu Twojego WordPressa:
- Wtyczki → Dodaj nową,
- Wyszukaj Secure Passkeys, kliknij Zainstaluj i Włącz,
- Menu Ustawienia → Secure Passkeys (nie musisz jej konfigurować, domyślne ustawienia są wystarczające).
Poza tą wtyczką warto wspomnieć także o: WP-WebAuthn, Shield Security PRO (płatna, WebAuthn jako 2FA), Shield Security.
4. Rejestracja pierwszego klucza
- Wyloguj się i przejdź do /wp-admin (logowanie do Twojego WordPressa),
- Po zalogowaniu zobaczysz nowy przycisk "Zarejestruj passkey",
- Kliknij ten przycisk,
- Przeglądarka zapyta o metodę (Touch ID / Windows Hello / klucz FIDO2),
- Potwierdź biometrycznie lub dotknij klucza,
- Gotowe, nowy passkey pojawi się w "Twoje passkeys" w profilu Twojego WordPressa.
5. Logowanie bez hasła
- Na ekranie logowania wybierz "Użyj passkey",
- Potwierdź biometrią – zostaniesz zalogowany i nie będziesz musiał wprowadzać hasła,
- Inne urządzenie? Jeśli używasz synchronizowanych passkeys (Google Password Manager, iCloud Keychain), to nasze rozwiązanie zadziała od razu.
6. Kopie zapasowe i "co jeśli zgubię telefon?"
- Zarejestruj co najmniej dwa urządzenia (np. laptop + telefon),
- Włącz kody odzyskiwania w Secure Passkeys → wygeneruj PDF i schowaj offline,
- Pozostaw hasło jako fallback (Ustawienia → „Password fallback” jako włączone).
7. Wymuszenie passkeys-only (dla administratorów)
Dodaj do pliku wp-config.php (znajduje się w katalogu głównym Twojego WordPressa):
// blokada logowania hasłem dla ról Administrator + Edytor
define( 'SPK_FORCE_PASSKEY_ROLES', 'administrator,editor' );
Podsumowanie
Długo to nie trwało prawda? Dosłownie 5 minut pracy, a panel Twojego WordPressa może być dostępny wyłącznie dla osób które posiadają odpowiedni klucz. Wykluczy to możliwość włamania / złamania hasła przez osoby postronnne.
Warto wspomnieć, że w każdej chwili możesz edytować plik wp-config i przywrócić nawet tymczasowo zwykłe hasła, jeżeli tylko zajdzie taka potrzeba.
Kategorie: WordPress. Tagi: #wordpress, #panel administracyjny, #klucze, #bezpieczeństwo. Źródło obrazków: Pixabay, Font awesome.