Игорь Воротнёв

Редиректы надо делать на сервере. Какой у вас сервер? Nginx, Apache?
Для апача

RewriteCond %{HTTPS} off
RewriteRule .* https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
RewriteCond %{HTTP_HOST} !^www\.
RewriteRule .* https://www.%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Правда, давно с ним не работал, может кто-то поправит. Ну или проверяйте.

UPDATE: Поскольку оказалось что у вас таки Nginx, вот конфиг для него:

# http to https
server {
       listen         80;
       listen         [::]:80;
       server_name    example.com www.example.com;
       return         301 https://www.example.com$request_uri;
}
# non-www to www via https
server {
        listen 443 ssl;
        listen [::]:443 ssl;
        ssl_certificate /etc/ssl/certs/*.domain.pem;
        ssl_certificate_key /etc/ssl/private/*.domain.pem;
        server_name example.com;
        return 301 https://www.example.com$request_uri;
}
# Main configuration
server {
        listen 443 ssl http2 default_server; # http2 нужен если вы хотите использовать HTTP/2, иначе не нужно
        listen [::]:443 ssl http2 default_server; # http2 нужен если вы хотите использовать HTTP/2, иначе не нужно
        server_name www.example.com;
        ssl_certificate /etc/ssl/certs/*.domain.pem;
        ssl_certificate_key /etc/ssl/private/*.domain.pem;
        # Остальная конфигурация
        ...
    
}

Все, что нужно для ЧПУ в WordPres + Nginx это:

1. try_files $uri $uri/ /index.php?$args; в конфиге
2. Пересохранить пермалинки (WordPress admin - Settings - Permalinks)

Если не работает - проблема в другом месте. Надо смотреть логи, начните с Nginx access.log и error.log

Ответ уже как бы есть, я только не могу понять, зачем городить сторонние файлы, делать редиректы и тд. Есть же такая удобна штука как хуки. Например - init, template_redirect, template_include. Вместо целого файла регистрируете query_var, можно даже rewtie_rule свой (example.com/auth/). При попадании на этот урл в хуке init или template_include стартуете авторизованную сессию, если есть токен, делаете что надо (например сверяете токен с таковым в таблице wp_usermeta), дальше отправляете на нужную страницу (откуда начали авторизацию). Гибкость фантастическая. И все - родные фичи WP, а не костыли. Да, это более advanced topic, чем просто сторонний файлик, но и более гибкий в результате, более надежный и безопасный. Вот в вашем случае, например, а что, если токен левый отправить? Проверки есть? Какая-нибудь API key pair есть? Так чтобы один ключик на том сервисе где логинитесь, а второй - на самом сайте. Понятно, что вы детально не раскрыли механизм авторизации, но со стороны здесь просматривается не очень надежное место.

Я делаю javascript'ом. Чем не нравится решение? В том месте в шапке сайта, где у нас аватар + имя пользователя и иконка его меню, я вывожу по умолчанию "заглушку" и вращающийся спиннер. Проверяем куку локальную, если авторизован - выводим туда аватар + имя, не авторизован - выводим ссылки на вход и регистрацию. Если это сделать с легкой анимацией, то смотрится вполне отлично. Если куки нет, то эту "заглушку" может быть видно 0.5-3 секунды, зависит от того как долго будет срикпт с сервером общаться, если же кука есть, то чаще всего вообще никто ничего не заметит. Дабы сократить FOUC данный скрипт стоит в самом хтмл прямо в том месте где надо. Чтобы не ждать всех загрузок и т.д. а выполниться максимально быстро.