[WordPress] 外掛分享： SSO Cross Cookie

內容目錄

1 前言介紹
2 外掛協作開發者
3 外掛標籤
4 內容簡介
5 原文外掛簡介
6 各版本下載點
7 延伸相關外掛（你可能也想知道）

前言介紹

這款 WordPress 外掛「SSO Cross Cookie」是 2012-03-06 上架。
目前有 10 個安裝啟用數。
上一次更新是 2012-03-07，距離現在已有 4806 天。超過一年沒更新，安裝要確認版本是否可用。以及後續維護問題！
外掛最低要求 WordPress 3.3.1 以上版本才可以安裝。
尚未有人給過這款外掛評分。
還沒有人在論壇上發問，可能目前使用數不多，還沒有什麼大問題。

外掛協作開發者

vanpattenmedia |

外掛標籤

內容簡介

本外掛設計為與 SSL Subdomain for Multisite 一起運作。

該外掛依賴於必須安裝並啟用網絡的WPMU Domain Mapping，才能正常運作。

插件功能

如果您已經安裝並啟用了 SSL Subdomain for Multisite 外掛，您現在可以在 https://demo-site.mynetwork.com 上進行登錄和管理，而正常的網站訪問則在 http://demo-site.com 上進行。

這非常好。但是，一旦您登錄到 demo-site.mynetwork.com 進行管理工作，然後訪問主站，例如以 WordPress 登錄用戶身份發表評論，您就無法在主站上發表評論 — 您沒有在該站點上登錄！其他已登錄用戶的好處，例如管理條的顯示或缓存的避免，也無法獲得。如果重新登錄，您會登錄到 https://demo-site.mynetwork.com，但您仍然沒有在 http://demo-site.com 上登錄。

此外掛解決了此問題，通過啟用單一登錄（SSO），可以在自定義域名上的管理面板和主站上進行登錄。登錄時，該外掛將用戶彈回到主站來設置 cookie，然後再彈回到管理面板。

現在，您可以正常工作管理面板，而如果您從管理面板點擊“訪問網站”，則會跳轉到自定義域，此時您也已登錄，可以正常執行所有操作。單一登錄！

（愚蠢的）假設

您正在使用WPMU Domain Mapping為多站點網絡上的自定義域。

您已經為您的主域名（例如 www.mynetwork.com）以及萬用字符 *.mynetwork.com 配置了 SSL。您希望正常網站訪問發生在使用 HTTP 的自定義域上，而所有管理和登錄訪問都在 *.mynetwork.com 的子域上進行 HTTPS。

您已經開啟了 wp-config.php 中的 FORCE_SSL_LOGIN 設置。

您已經關閉了 wp-config.php 中的 FORCE_SSL_ADMIN 設置。我們會處理這個問題 — WordPress 的強制 SSL 管理員可能會使該外掛產生疑惑。

此外掛已經過測試，旨在與 SSL Subdomain for Multisite 一起使用。

已知問題

redirect_to 參數目前無法正常工作。此時，您將被發送到根管理員頁面，而非您嘗試訪問的特定頁面。這需要改進，因為它會影響用戶體驗。

這比僅啟用 FORCE_SSL_LOGIN 而不啟用 FORCE_SSL_ADMIN 提供了更好的安全保障，因為使用此外掛和 SSL Subdomain for Multisite 進行登錄和管理時均使用 HTTPS。

但是，此設置方式的性質意味著中間人攻擊者理論上可以以您的身份假扮登錄會話的持續時間。目前無法避免此理論攻擊方案，而不使用 SSL 全部服務（使任意自定義域支持成為不可能），或者阻止登錄。

原文外掛簡介

Designed to be run in concert with SSL Subdomain for Multisite.
This plugin depends upon WPMU Domain Mapping, which must be installed and network activated for this to work.
What this Plugin does
If you have the SSL Subdomain for Multisite plugin installed and network activated, you now have logins and admin happening on https://demo-site.mynetwork.com, while normal site access is on http://demo-site.com.
This works great. Except, once you log in to demo-site.mynetwork.com to do some admin work, then visit the main site, perhaps to post a comment as a logged in WordPress user, you are not logged in on the main site. This means that you can’t, for example, post that comment while logged in — you aren’t logged in there! Other logged-in niceties like the display of the admin bar, or the avoidance of caching, are not available. If you log in again, it logs you in to https://demo-site.mynetwork.com but still you remain not logged in on http://demo-site.com.
This plugin solves this problem by enabling a single sign on (SSO) for both the admin panel and the main site on the custom domain. Upon login, this plugin bounces the user across to the main site to set a cookie there, then bounces them back to the admin panel.
Now, you can work in the admin panel normally, and if you click ‘Visit Site’ from the Admin panel, you go over to the custom domain, where you are also logged in and can perform all actions as normal. Single Sign On!
(Foolish) Assumptions

You are using WPMU Domain Mapping for custom domains on your Multisite network.

You have SSL configured for your master domain (e.g. www.mynetwork.com), and for the wildcard *.mynetwork.com. You would like normal site access to happen over the custom domains with HTTP, and all admin and login access over the subdomains of *.mynetwork.com with HTTPS.

You have the FORCE_SSL_LOGIN setting in wp-config.php ON.

You have the FORCE_SSL_ADMIN setting in wp-config.php OFF. We’ll handle that — WordPress’ forcing of SSL admins may confuse this plugin.

This plugin was tested with and is intended to be used in concert with SSL Subdomain for Multisite.
Known Issues

The redirect_to parameter is not fully working at present. Sometimes, you will be sent to the root admin page, instead of the specific page you were trying to access. This needs to be improved, as it does compromise the user experience.

This provides better security than only enabling FORCE_SSL_LOGIN but not FORCE_SSL_ADMIN, since with this plugin and SSL Subdomain for Multisite, login and admin are served over HTTPS.
However, the nature of this setup means that a man-in-the-middle attacker could theoretically impersonate you for the duration of the login session. It is not possible at the moment to avoid this theoretical attack scenario without serving everything over HTTPS (making arbitrary custom domain support impossible), or preventing login to the actual custom domain site.

各版本下載點

方法一：點下方版本號的連結下載 ZIP 檔案後，登入網站後台左側選單「外掛」的「安裝外掛」，然後選擇上方的「上傳外掛」，把下載回去的 ZIP 外掛打包檔案上傳上去安裝與啟用。
方法二：透過「安裝外掛」的畫面右方搜尋功能，搜尋外掛名稱「SSO Cross Cookie」來進行安裝。

（建議使用方法二，確保安裝的版本符合當前運作的 WordPress 環境。

1.0 | trunk |

延伸相關外掛（你可能也想知道）

Really Simple Security – Simple and Performant Security (formerly Really Simple SSL) 》le Plugins include Complianz GDPR, Disable Updates Manager, and Really Simple CAPTCHA., , Really Simple SSL是一個外掛，自動配置你的網站最大程度上使...。
SSL Insecure Content Fixer 》清理您的 WordPress 網站的 HTTPS 不安全內容和混合內容警告。安裝 SSL Insecure Content Fixer 外掛程式將可以輕鬆解決大部分的不安全內容警告。其餘則可以...。
Cloudflare 》這個外掛可以為您做些什麼, , 自動平台優化 (APO), 使用 Cloudflare 的自動平台優化 (APO) 外掛，可將您的 WordPress 網站加速達 300%。APO 讓 Cloudflare 可...。
WP Force SSL & HTTPS SSL Redirect 》WP Force SSL可以幫助你將不安全的HTTP流量重定向到安全的HTTPS，並在不觸碰任何代碼的情況下修復SSL錯誤。啟用Force SSL，所有內容都會設置並啟用SSL。整個...。
Easy HTTPS Redirection (SSL) 》僅在您的網站安裝 SSL 憑證和 HTTPS 正常運作時使用此外掛, 安裝 SSL 憑證後，您應使用您網頁的「HTTPS」URL。, 您想要強制搜尋引擎索引您網頁的 HTTPS 版本...。
Flexible SSL for CloudFlare 》點擊查看完整的安裝指南。, 在 WordPress 上使用 CloudFlare® Flexible SSL 不像只需要打開開關這麼簡單。, 這個外掛插件是啟用 WordPress 上 Cloudflare ...。
WP Encryption – One Click Free SSL Certificate & SSL / HTTPS Redirect to Force HTTPS, SSL Scan 》使用 Let's Encrypt® 提供的 SSL 憑證，全站強制 SSL / HTTPS，檢查 SSL 分數，輕鬆修正不安全的內容和混合內容問題，並在幾分鐘內啟用您的網站上的 HTTPS 安...。
Easy SSL Plugin for SAKURA Rental Server 》此外掛是專為使用 Sakura 租用伺服器的客戶所設計的。若您在 Sakura 以外的環境上啟用 SSL，將可能無法正常瀏覽您的網站。, 關於此外掛, 此外掛可為設置在 Sa...。
WordPress Force HTTPS 》強制整個站點都使用 HTTPS。, 如有任何錯誤或功能需求，請至下方連結回報。, 錯誤回報：, , 至 Github 問題追蹤器回報, , 問題/意見：, , http://www.kaiarm...。
SSL Certificate – Free SSL, HTTPS by SSL Zen 》使用免費 Let’s Encrypt SSL 憑證，保護您的網站。全球有超過100,000個網站信任我們！, , SSL Zen是WordPress中最受信任和高度評價的“免費 SSL憑證”插...。
One Click SSL 》這是一個簡單易用的 WordPress SSL 外掛程式，可將所有非 SSL 頁面重新導向到 SSL，同時確保在 SSL 頁面上載入的所有資源也都使用 SSL 載入。, 啟用後，它會...。
SSL Mixed Content Fix 》在你的免費測試網站上試用：點擊這裡 => https://tastewp.com/plugins/http-https-remover., （這個技巧適用於 WP 存儲庫中的所有插件-只需在 URL 中替換“...。
Cloudflare SSL by Weslink 》CloudFlare 無法簡單地使用 SSL，需要進行微小的修改，以避免重定向迴圈。此外掛可讓您的 WordPress 網站準備使用 CloudFlare SSL，並避免 SSL 無限迴圈問題...。
WP Free SSL – Free SSL Certificate for WordPress and force HTTPS 》在幾分鐘內為 WordPress 獲取免費的 SSL 憑證, 您經營電子商務網站嗎？或者您經營一個需要通過 SSL 憑證保護的精彩博客。您不需要花費大量金錢從不同的服務中...。
Simple HTTPS Redirect 》此外掛會強制將您的網站導向 https 協議，保障您的網站安全性並解決混合內容問題。, 主要特色, , 一鍵即可將整個網站 SSL 化, 強制導向 HTTPS 協議, 透過將所...。

文章

文章