WP-WebAuthn

外掛說明

WebAuthn 是一種新式網站驗證方式。它可以協助使用者使用 Passkey、USB 安全金鑰、指紋掃描器、Windows Hello 相容攝影機、FaceID/TouchID 等方式取代密碼登入。使用 WebAuthn 時,使用者僅需掃描生物特徵或輕觸安全性識別裝置,不須密碼即可登入網站。

使用 WebAuthn 時,使用者僅需輕觸驗證器並進行簡易驗證,便能登入網站。完全不需要輸入密碼。如果裝置支援 Passkey,身分驗證程式便能在多個裝置間無縫使用,會有更方便的登入體驗。

WP-WebAuthn 是一個能為 WordPress 網站啟用 WebAuthn 功能的外掛。僅需完成下載及安裝,使用者便能開始使用新式網站登入驗證方式。

WP-WebAuthn 也支援無使用者名稱登入驗證功能。

這個外掛內建 4 個短代碼及 4 個對應 Gutenberg/區塊編輯器區塊,網站管理員可以將這些元件 (例如註冊表單) 新增至網站前端頁面。

使用這個外掛前,請參閱線上說明文件

這個外掛需要 PHP 的 gmp 及 mbstring 擴充功能。

WebAuthn 需要 HTTPS 連線或 localhost 才能正確執行。

任何人均可前往外掛的 GitHub 存放庫,為這個外掛做出貢獻。

請注意,這個外掛不支援 Internet Explorer (包括 IE 11)。如需使用 FaceID 或 TouchID,裝置必須使用 iOS/iPadOS 14 或更新版本。

安全性及隱私權

WebAuthn 已於 2019 年 3 月成為 W3C 建議標準,它讓 Web 應用程式能夠建立及使用強大、可驗證、可廣泛使用、基於公開金鑰的認證,並透過硬體驗證器對使用者進行強式驗證。WebAuthn 注重安全性及隱私權,它提供了建立不需傳輸任何隱私資料 (例如辨識資料及指紋資料) 即可進行安全驗證的方式。WebAuthn 會是網路驗證的全新方式。

符合 GDPR 規範

使用 WebAuthn 進行驗證時,不會從使用者裝置傳輸任何隱私資料,也不會使用第三方服務。認證傳輸後僅用僅用於登入驗證,不會與任何使用者產生關聯,符合 GDPR 規範。

螢幕擷圖

  • 進行驗證
  • 在 iPad 上使用無使用者名稱登入驗證
  • 網站登入頁面
  • 外掛設定頁面
  • [個人資料] 頁面

適用於區塊編輯器

這個外掛提供 1 個可供 Gutenberg/區塊編輯器使用的區塊。

  • WebAuthn Login Form

安裝方式

請注意,這個外掛需要 PHP 的 gmp 及 mbstring 擴充功能。

  1. 將外掛安裝套件解壓縮所得的資料夾 wp-webauthn 上傳至網站的 /wp-content/plugins/ 目錄中,或在 WordPress 管理後台的 [外掛] 選單中直接安裝外掛。
  2. 在 WordPress 管理後台的 [外掛] 選單中啟用外掛。
  3. 前往 [設定]→[WP-WebAuthn] 頁面設定外掛。
  4. 請確認已儲存全部設定,然後就可以在 [個人資料] 頁面中註冊驗證器。

常見問題集

這個外掛支援哪些語言?

這個外掛目前支援英文、台灣繁體中文、香港繁體中文、中國簡體中文、土耳其文、法文及德文。如果 WordPress 並未使用這些語言介面,預設使用英文介面。

全部語言套件檔案均儲存於 translate.wordpress.orgGitHub 上進行管理。請協助我們將 WP-WebAuthn 本地化為你的母語。

這個外掛無法正確執行時該如何處理?

請確認網站使用 HTTPS 連線,或執行於 localhost,並檢查主機是否安裝 PHP 的 gmp 擴充功能。

如果無法解決問題,請前往 GitHub 存放庫提交問題並附上外掛記錄。

哪些瀏覽器支援 WebAuthn?

最新版 Chrome、FireFox、Edge 及 Safari 均支援 WebAuthn。如需進一步了解,請前往 Can I Use 網站。

如需使用 FaceID 或 TouchID,裝置必須使用 iOS/iPadOS 14 或更新版本。

使用者評論

2023 年 2 月 27 日
Simply the best login solution for Wordpress. They are working on adding MagicLink support. With Web-Auth(Passkeys) and as a fallback MagicLink, Passwords are finally gone for good
2022 年 2 月 9 日
This plugin will replace many others when U2F is retired from Chrome.
2021 年 12 月 16 日 4 則留言
I like how it works, but I only give it 3 stars because of this: When I first registered my keys, it allowed to access with no password and just with the key inserted and a non-biometric touch. No PIN, and no fingerprint was required to access, I guess that it just uses FIDO U2F standard by default. This should never be allowed, at least by default. To solve it, I had to change, in the settings, "user verification". This should be mandatory. According to the owner, this is configured like that because mobile devices do not work with WebAuthn. I'd rather to allow always the possibility of using password + U2F than this option. U2F for passwordless authentication should NEVER be allowed. If it is corrected, I would give 5 stars, because besides this it works fine.
2021 年 5 月 6 日
It does what it suppose to do, but simple and to the point. Also, it's open-source under GPL v3.0. Good job! Thanks.
閱讀全部 11 則使用者評論

參與者及開發者

以下人員參與了開源軟體〈WP-WebAuthn〉的開發相關工作。

參與者

〈WP-WebAuthn〉外掛目前已有 6 個本地化語言版本。 感謝全部譯者為這個外掛做出的貢獻。

將〈WP-WebAuthn〉外掛本地化為台灣繁體中文版

對開發相關資訊感興趣?

任何人均可瀏覽程式碼、查看 SVN 存放庫,或透過 RSS 訂閱開發記錄

變更記錄

1.3.1

Update: Translations

1.3.0

Add: Allow to login with email addresses
Add: Disable password reset
Add: After user registration
Add: Spanish-Latam translation (thanks to Eduardo Chongkan), Catalan translation (thanks to Aniol Pagès), Spanish and Italian translations (thanks to AlwaysReading)
Fix: Undefined username in Gutenberg Blocks
Fix: 2FA compatibility
Update: Translations
Update: Third party libraries

1.2.8

Fix: privilege check for admin panel

1.2.7

Add: Now a security warning will be shown if user verification is disabled
Fix: Style broken with some locales
Fix: privilege check for admin panel (thanks to @vanpop)
Update: Third party libraries

1.2.6

Update: Third party libraries

1.2.5

Update: German translation (thanks to niiconn)
Fix: HTTPS check

1.2.4

Add: French translation (thanks to Spomky) and Turkish translate (thanks to Sn0bzy)
Fix: HTTPS check
Update: Existing translations
Update: Third party libraries

1.2.3

Feat: Avoid locking users out if WebAuthn is not available
Update: translations
Update: Third party libraries

1.2.2

Fix: Cannot access to js files in apache 2.4+

1.2.1

Feat: Allow to disable password login completely
Feat: Now we use WordPress transients instead of PHP sessions
Feat: Move register related settings to user’s profile
Feat: Gutenberg block support
Feat: Traditional Chinese (Hong Kong) & Traditional Chinese (Taiwan) translation
Update: Chinese translation
Update: Third-party libraries

1.1.0

Add: Allow to remember login option
Add: Only allow a specific type of authenticator option
Fix: Toggle button may not working in login form
Update: Chinese translation
Update: Third-party libraries