Logowanie bez hasła w WordPressie – konfiguracja passkeys (WebAuthn)

Data publikacji: 26.05.2025r. Autor: Bartosz Stefanicki.

Logowanie bez hasła w WordPressie – konfiguracja passkeys (WebAuthn)

Zwykłe logowanie przez login i hasło to słabe ogniwo WP. Passkeys wycinają hasło - logujesz się twarzą, odciskiem palca lub kluczem sprzętowym.

1. Czym są passkeys?

Jest to para kluczy - publiczny na serwerze i prywatny na Twoim urządzeniu. Rozwiązanie działa natywnie w przeglądarkach Google Chrome, Safari, Edge i systemach Android 13+, iOS 17+ i Windows 11+.

Rozwiązanie wprowadza wysokie standardy bezpieczeństwa, ponieważ jest odporne na phishing i wycieki. Nawet jeśli ktoś pozna Twój login / nazwę użytkownika / adres e-mail - to nie przechwyci Twojego prywatnego klucza.

2. Wymagania

  • WordPress ≥ 6.4 (REST API włączone),
  • PHP 8.1+ z openssl i json,
  • Certyfikat SSL – https jest obowiązkowe (połączenie WebAuthn wymaga TLS),
  • Przeglądarka / urządzenie z obsługą WebAuthn (Windows Hello, Touch ID, Android Passkey).

3. Instalacja wtyczki

Zrobimy takie zabezpieczenie na bazie wtyczki Secure Passkeys (jest w pełni darmowa, ma ocenę 5/5 na dzień pisania porady). W panelu Twojego WordPressa:

  • Wtyczki → Dodaj nową,
  • Wyszukaj Secure Passkeys, kliknij Zainstaluj i Włącz,
  • Menu Ustawienia → Secure Passkeys (nie musisz jej konfigurować, domyślne ustawienia są wystarczające).

Poza tą wtyczką warto wspomnieć także o: WP-WebAuthn, Shield Security PRO (płatna, WebAuthn jako 2FA), Shield Security.

4. Rejestracja pierwszego klucza

  • Wyloguj się i przejdź do /wp-admin (logowanie do Twojego WordPressa),
  • Po zalogowaniu zobaczysz nowy przycisk "Zarejestruj passkey",
  • Kliknij ten przycisk,
  • Przeglądarka zapyta o metodę (Touch ID / Windows Hello / klucz FIDO2),
  • Potwierdź biometrycznie lub dotknij klucza,
  • Gotowe, nowy passkey pojawi się w "Twoje passkeys" w profilu Twojego WordPressa.

5. Logowanie bez hasła

  • Na ekranie logowania wybierz "Użyj passkey",
  • Potwierdź biometrią – zostaniesz zalogowany i nie będziesz musiał wprowadzać hasła,
  • Inne urządzenie? Jeśli używasz synchronizowanych passkeys (Google Password Manager, iCloud Keychain), to nasze rozwiązanie zadziała od razu.

6. Kopie zapasowe i "co jeśli zgubię telefon?"

  • Zarejestruj co najmniej dwa urządzenia (np. laptop + telefon),
  • Włącz kody odzyskiwania w Secure Passkeys → wygeneruj PDF i schowaj offline,
  • Pozostaw hasło jako fallback (Ustawienia → „Password fallback” jako włączone).

7. Wymuszenie passkeys-only (dla administratorów)

Dodaj do pliku wp-config.php (znajduje się w katalogu głównym Twojego WordPressa):

// blokada logowania hasłem dla ról Administrator + Edytor
define( 'SPK_FORCE_PASSKEY_ROLES', 'administrator,editor' );

Podsumowanie

Długo to nie trwało prawda? Dosłownie 5 minut pracy, a panel Twojego WordPressa może być dostępny wyłącznie dla osób które posiadają odpowiedni klucz. Wykluczy to możliwość włamania / złamania hasła przez osoby postronnne.

Warto wspomnieć, że w każdej chwili możesz edytować plik wp-config i przywrócić nawet tymczasowo zwykłe hasła, jeżeli tylko zajdzie taka potrzeba.

Kategorie: WordPress. Tagi: #wordpress, #panel administracyjny, #klucze, #bezpieczeństwo. Źródło obrazków: Pixabay, Font awesome.

Zobacz także

Komentarze