WP admin tidak bisa diakses dan hanya menampilkan layar putih kosong adalah salah satu masalah yang paling bikin frustasi di WordPress. Penyebabnya bisa bermacam-macam mulai dari konflik plugin, memory limit habis, hingga hal yang jauh lebih serius: backdoor. Artikel ini menceritakan pengalaman langsung tim Alifbata Digital saat menangani kasus layar putih di wp-login dan wp-admin, lengkap dengan apa yang kami temukan dan bagaimana kami mengatasinya.
Suatu hari, laporan masuk ke tim kami. Salah satu mesin WordPress yang kami operasikan tiba-tiba menampilkan halaman kosong setiap kali seseorang membuka /wp-admin atau /wp-login.php. Tidak ada pesan error. Tidak ada kode HTTP yang aneh. Hanya putih. Diam.
Bagi sebagian orang, ini mungkin terlihat seperti masalah teknis biasa. Kami pun sempat berpikir begitu, sampai kami mulai menggali lebih dalam.
Apa Itu “White Screen of Death” di WordPress?
Komunitas WordPress sudah lama mengenal istilah White Screen of Death atau WSoD. Artinya sederhana: halaman tidak merender apa pun. Browser menerima respons dari server, tapi tidak ada konten yang muncul. Layar putih bersih.
Masalah ini bisa menyerang halaman front-end maupun area admin. Kalau wp admin tidak bisa diakses karena WSoD, artinya seluruh operasional situs terhenti. Tidak bisa membuat konten baru, tidak bisa mengelola plugin, tidak bisa apa-apa.
Penyebab umumnya meliputi:
- Memory limit PHP habis — WordPress kehabisan alokasi memori saat menjalankan proses.
- Konflik plugin atau tema — Ada kode yang saling bertabrakan.
- File WordPress rusak — Bisa karena update yang gagal atau modifikasi manual.
- Kode berbahaya — Ini yang paling jarang dibahas, tapi justru paling berbahaya.
Kasus yang kami tangani ternyata masuk ke kategori terakhir.
Audit Awal: Saat Semuanya Terlihat Normal
Langkah pertama kami selalu sama periksa log error. Kami masuk ke server via SSH dan membuka error_log milik PHP. Beberapa baris error muncul, tapi tidak ada yang langsung mengarah ke penyebab utama.
Kami coba nonaktifkan semua plugin secara manual lewat FTP, mengganti nama folder plugins menjadi plugins_bak. Layar putih tetap ada. Artinya bukan konflik plugin biasa.
Selanjutnya kami cek tema aktif. Kami ganti ke tema default WordPress — Twenty Twenty-Four. Masih putih.
Kami cek wp-config.php, tambahkan baris define('WP_DEBUG', true) dan define('WP_DEBUG_LOG', true). Setelah itu, log mulai bicara. Ada beberapa fungsi yang terpanggil dari lokasi tidak wajar, bukan dari folder inti WordPress, bukan dari plugin resmi, tapi dari file yang seharusnya tidak ada.
Temuan Mengejutkan, Backdoor di Dalam Server
Inilah bagian yang membuat kami berhenti sejenak.
Saat kami menelusuri file-file di server, kami menemukan sejumlah file PHP dengan nama yang terlihat acak — kombinasi huruf dan angka yang tidak bermakna. Letaknya tersebar: sebagian di folder uploads, sebagian di folder wp-includes, bahkan ada yang menyelip di antara file tema.
Kami buka salah satunya. Isinya kode PHP yang sudah di-obfuscate, diacak menggunakan base64_decode berlapis-lapis agar tidak mudah terbaca manusia. Ini tanda klasik backdoor.
Backdoor adalah pintu masuk tersembunyi ke dalam sistem. Siapa pun yang menanamkan kode ini bisa mengakses server dari jarak jauh, menjalankan perintah, mencuri data, bahkan mengubah isi situs tanpa diketahui pemiliknya.
Dari mana asalnya?
Setelah kami telusuri lebih jauh, dugaan kuat mengarah ke sebuah plugin file manager — sejenis plugin yang memungkinkan pengguna melihat dan mengelola file di server langsung dari dashboard WordPress. Plugin ini rupanya pernah dipasang oleh pemilik situs, entah untuk kemudahan akses atau keperluan lain.
Plugin semacam ini memang praktis. Tapi juga berbahaya. Kalau plugin itu memiliki celah keamanan, atau sudah lama tidak diperbarui, penyerang bisa memanfaatkannya untuk menanam file berbahaya. Dan itulah yang tampaknya terjadi di sini.
Kami pernah membahas risiko serupa dalam konteks yang berbeda — soal tema atau plugin yang tidak resmi — di artikel tentang bahaya tersembunyi di balik template WordPress nulled. Polanya sama: akses terselip lewat komponen yang terlihat tidak berbahaya.
Baca study case lengkap Alifbata Digital menangani dan mengatasi backdoor
Proses Pembersihan: Tidak Bisa Setengah-Setengah
Menemukan backdoor bukan titik akhir. Justru di sinilah pekerjaan sebenarnya dimulai.
Langkah 1: Cabut Plugin Bermasalah
Kami segera menghapus plugin file manager tersebut, tidak sekadar menonaktifkan, tapi menghapus total dari server. Menonaktifkan plugin tidak sama dengan membersihkannya. File-file plugin tetap ada di server selama belum dihapus.
Langkah 2: Inventarisasi File Mencurigakan
Kami jalankan perintah berikut di terminal untuk mencari file PHP yang dimodifikasi dalam 30 hari terakhir:
find /path/to/wordpress -name "*.php" -mtime -30 -ls
Hasilnya cukup mengejutkan. Ada belasan file yang tidak seharusnya ada, tersebar di berbagai folder. Kami catat semua lokasinya, lalu kami hapus satu per satu setelah memastikan bukan file inti WordPress.
Langkah 3: Bandingkan dengan File WordPress Bersih
Kami unduh salinan WordPress versi yang sama langsung dari wordpress.org. Kemudian kami bandingkan file-file inti menggunakan perintah diff untuk menemukan modifikasi yang tidak resmi. File apa pun yang berbeda dari versi bersih, kami evaluasi, dan kalau mencurigakan, kami timpa dengan versi resmi.
Langkah 4: Audit Database
Backdoor tidak selalu bersembunyi di file. Kadang penyerang juga menyuntikkan kode ke dalam database — misalnya di tabel wp_options, pada field active_plugins atau siteurl. Kami ekspor database, buka dengan text editor, dan cari string mencurigakan seperti eval(, base64_decode(, atau URL asing.
Langkah 5: Install Ulang WordPress Versi Terbaru
Setelah pembersihan selesai, kami tidak berhenti di situ. Kami melakukan instalasi ulang WordPress dari versi terbaru. Ini bukan sekadar update biasa — kami timpa seluruh file inti (kecuali wp-config.php dan folder wp-content) dengan file bersih.
Setelah proses ini selesai, kami coba akses kembali /wp-admin. Halaman login muncul. Layar putih hilang.
Solved.
Kenapa Ini Bisa Terjadi?
Ada beberapa kebiasaan yang membuka celah untuk kejadian seperti ini:
Menggunakan plugin yang tidak terawat. Plugin file manager yang tidak diperbarui selama bertahun-tahun adalah target empuk. Celah keamanan di versi lama sudah diketahui publik, dan penyerang tinggal mengeksploitasinya.
Memberikan akses terlalu luas di dashboard. Tidak semua pengguna atau pemilik situs perlu akses ke file server langsung dari WordPress. Kalau butuh mengelola file, gunakan FTP atau panel hosting — bukan plugin yang jalan di atas WordPress.
Tidak memantau aktivitas file. Server yang tidak dipantau adalah undangan terbuka. Kami menyarankan minimal menggunakan plugin monitoring integritas file seperti Wordfence atau iThemes Security untuk mendeteksi perubahan file secara otomatis.
Jarang melakukan update. WordPress, tema, dan plugin yang jarang diperbarui meninggalkan celah yang bisa dieksploitasi. Update bukan sekadar fitur baru — sebagian besar update berisi patch keamanan.
Pelajaran Tambahan dari Kasus Ini
Kami mengelola banyak instalasi WordPress. Kasus ini mengingatkan kami bahwa masalah wp admin tidak bisa diakses tidak selalu soal konfigurasi teknis semata.
Kadang masalahnya lebih dalam. Dan kalau sudah menyangkut keamanan, penanganan cepat adalah kunci.
Beberapa hal yang kami perkuat setelah insiden ini:
- Audit rutin semua instalasi WordPress yang kami operasikan.
- Hapus plugin yang sudah tidak digunakan, bukan hanya dinonaktifkan.
- Terapkan kebijakan ketat: tidak ada plugin yang membuka akses file sistem langsung dari dashboard.
- Pasang monitoring uptime dan notifikasi kalau ada anomali respons dari halaman admin.
Kalau kamu pernah mengalami masalah serupa — wp admin tidak bisa diakses, atau bahkan sekadar loading yang lambat — bisa jadi ada lebih dari sekadar konflik plugin di baliknya. Kami juga pernah menulis tentang cara mempercepat loading WordPress yang benar-benar bekerja, karena performa dan keamanan sebenarnya saling berkaitan erat.
Tanda-Tanda WordPress Kamu Mungkin Sudah “Disusupi”
Sebelum sampai ke tahap layar putih seperti yang kami alami, biasanya ada gejala awal yang sering diabaikan. Perhatikan hal-hal berikut:
- Traffic tiba-tiba melonjak atau anjlok drastis tanpa alasan yang jelas.
- Muncul halaman atau konten yang tidak pernah kamu buat — terutama konten berbahasa asing atau berisi link spam.
- Browser menampilkan peringatan “situs ini mungkin berbahaya” — ini artinya Google sudah mendeteksi sesuatu.
- Email dari hosting yang memberitahu aktivitas mencurigakan atau penggunaan CPU yang tidak wajar.
- Kamu tidak bisa login meski password sudah benar — akun admin mungkin sudah diubah oleh pihak lain.
Kalau kamu menemukan satu saja tanda di atas, jangan tunggu sampai layar putih muncul. Ambil tindakan sekarang.
Satu Masalah Lain yang Sering Menyertai: Redirect Aneh
Menariknya, di beberapa instalasi lain yang kami audit setelahnya, kami menemukan pola berbeda namun berasal dari akar yang sama: situs tiba-tiba redirect ke halaman lain secara tidak terduga. Ini juga bisa menjadi gejala bahwa ada kode asing yang berjalan di latar belakang. Kami sudah membahas lebih detail soal ini di artikel tentang ERR_TOO_MANY_REDIRECTS: penyebab, cara menemukan, dan solusinya.
Masalah Teknis Kadang Punya Lapisan yang Lebih Dalam
Kasus wp admin tidak bisa diakses yang kami tangani ini akhirnya selesai. Tapi yang kami bawa pulang bukan hanya solusi teknis — melainkan juga pengingat bahwa di balik setiap masalah WordPress yang tampak biasa, bisa saja ada sesuatu yang lebih serius menunggu untuk ditemukan.
WordPress adalah platform luar biasa. Fleksibel, kuat, dan ekosistemnya besar. Tapi justru karena itu, ia juga jadi target yang menarik. Setiap plugin yang kamu pasang, setiap akses yang kamu buka, setiap update yang kamu lewatkan — semuanya punya konsekuensi.
Kalau kamu mengelola situs WordPress sendiri atau milik klien, jadikan keamanan sebagai bagian dari rutinitas, bukan reaksi darurat. Audit berkala, update konsisten, dan prinsip akses minimal adalah fondasi yang jauh lebih murah daripada membersihkan server yang sudah terkontaminasi.
Dan kalau kamu sedang menghadapi kasus serupa — layar putih, redirect aneh, atau wp admin tidak bisa diakses — semoga pengalaman ini bisa jadi panduan awal yang membantu. Kalau butuh bantuan lebih lanjut, tim Alifbata Digital selalu terbuka untuk berdiskusi.
