aspé...non puoi farlo, sicurezza a parte, poi sul tuo sito come gestisci l'utente loggato? ti conviene farti piuttosto un backend che interroghi ad ogni pagina...+ lento probabilmente (ma di poco) ma estremamente più efficente

ti gestisci la sessione in locale da te e a ogni pagina autentichi l'utente, o comunque al momento del login (ad ogni pagina è meglio)

usando

codice:
$content = implode('', file('http://sito2.it/backend/auth.php?d=' . urlencode(base64_encode($username . '###' . $password))));
if ($content == '0')
    ... login non valido! ...
else
    ... è valido il login ...
dentro $content fai ritornare l'id dell'utente

la cosa non è che sia molto sicura pure cosi, però già eviti di ridirezionare l'utente alla pagina di autenticazione sul sito 2

per essere più sicuri potresti crittare il tutto usando mcrypt e crei una chiave che preimposti sui due siti in questo modo l'urlencode-base64_encode invece di applicarli all'username e password li applichi al contenuto crittografato che è infinitamente + sicuro!

se poi vuoi fare una cosa ancora migliore massi user e pass come md5 usando un salt (fisso anche questo) e poi quando fai la query cerchi gli MD5 ed in questo modo è moltoooo meglio xche non hai bisogno di mcrypt

ricordati solo che sul database che gestisce l'autenticazione la query sarà abbastanza pesante quindi se metti un campo come chiave unica nel quale inserisci l'md5 di user, pass e salt ogni volta che modifichi gli utenti è ancora meglio!

PS: a parte svariate vulnerabilità che potrebberò derivare la più pericolosa è quella del dns poisoning! Infatti se viene cambiato l'ip al quale l'indirizzo del secondo sito e viene fatto visualizzare un altro è possibile bucarti il sito! quindi è bene che insieme all'id ti fai inviare ad esempio l'ip + il timestamp unix + il salt (diverso dal precedente)
il timestamp unix xo lo devi inviare tu...quindi fai...
http://sito2.it/backend/auth.php?d=' . ..... .'&t=' . time() ...

cosi la chiave di autenticazione viene ricostruita dall'altra parte e ti viene inviata...tu la ricevi...ricomponi quella che dovrebbe essere la chiave di autenticazione (ovvero l'ip del server remoto che conosci, il timestamp unix ed il salt che hai deciso a priori) e rendi difficili l'esecuzione di attacchi al tuo sito

ovviamente se uno vuole entrare entra...xo...è sempre possibile rendergli le cose difficili

PS: studiaci un po su, perché ti ho buttato qui tutta una serie di consigli +/- utili e +/- fattibili che SICURAMENTE possono essere migliorati notevolmente ))