Для обычного посетителя это выглядит как “доступ запрещён”. Для владельца сайта — как сигнал проверить права на файлы, .htaccess, firewall, WAF, IP-блокировки и правила Cloudflare. :contentReference[oaicite:1]{index=1}
Quick Fix
- Проверьте, правильно ли введён URL.
- Попробуйте открыть страницу в режиме инкогнито или из другого браузера.
- Очистите cookies и кэш браузера.
- Если сайт ваш — проверьте права доступа к файлам и папкам.
- Проверьте правила в
.htaccess, Nginx и firewall. - Убедитесь, что Cloudflare или WAF не блокируют запрос.
- Проверьте, не запрещён ли доступ по IP или стране.
Что значит 403 Forbidden
Статус 403 Forbidden означает, что сервер понял запрос, но не даёт доступ к ресурсу из-за недостаточных прав или логики приложения. MDN прямо указывает, что это отличается от 401: при 403 повторная аутентификация обычно ничего не меняет. :contentReference[oaicite:2]{index=2}
Иногда сервер специально отдаёт 403 вместо 404, чтобы не подтверждать существование защищённого ресурса. :contentReference[oaicite:3]{index=3}
Почему 403 считают серверной ошибкой
Формально 403 относится к классу 4xx client error, а не к 5xx серверным ошибкам. Но в реальной жизни пользователи часто называют её “серверной”, потому что источник проблемы обычно находится в настройках сайта, сервера или защитной инфраструктуры, а не на их компьютере. :contentReference[oaicite:4]{index=4}
Как выглядит ошибка 403
- 403 Forbidden
- HTTP Error 403
- Access Denied
- Forbidden
- Cloudflare 403 Forbidden
Основные причины 403 Forbidden
1. Неправильные права доступа к файлам и папкам
Если сервер не может безопасно выдать файл или папку из-за неверных permissions, он часто отвечает 403. Это одна из самых частых причин на Apache, Nginx и shared hosting.
2. Запрет в .htaccess
Cloudflare отдельно указывает, что если 403 приходит без брендинга Cloudflare, причина часто в origin server, в том числе в правилах доступа, заданных в .htaccess. :contentReference[oaicite:5]{index=5}
3. ModSecurity или WAF блокируют запрос
Cloudflare прямо называет ModSecurity rules и WAF-правила одной из типичных причин 403. Если запрос похож на подозрительный, защита может просто закрыть доступ. :contentReference[oaicite:6]{index=6}
4. Блокировка по IP
Если сервер запрещает доступ определённым IP или диапазонам, пользователь увидит 403. Cloudflare отдельно советует убедиться, что IP-диапазоны Cloudflare не блокируются на origin server. :contentReference[oaicite:7]{index=7}
5. Нет index-файла и запрещён листинг директорий
Если пользователь открывает папку без index.php или index.html, а listing директорий отключён, сервер может вернуть 403.
6. Неверные правила в Nginx или Apache
Одна ошибка в deny, allow, location rules или virtual host может перекрыть доступ к части сайта, админке, API или медиафайлам.
7. Cloudflare WAF, Security Level или Browser Integrity Check
Cloudflare пишет, что branded 403 может появляться из-за WAF managed rules, custom rules, Security Level, DDoS Protection, Browser Integrity Check и validation checks. :contentReference[oaicite:8]{index=8}
8. Блокировка хотлинков, стран или user-agent
Иногда 403 появляется из-за защиты от hotlinking, геоблокировки, запрета на определённые user-agent или рефереры.
9. Ошибки в CMS или плагинах безопасности
На WordPress, Joomla и других CMS 403 нередко вызывают security-плагины, защита логина, ограничение REST API или ошибочные правила после обновления.
10. Несовпадение host и SNI
Cloudflare также отмечает отдельный сценарий, когда unstyled 403 может появляться очень рано в инфраструктуре, если host не совпадает с SNI. :contentReference[oaicite:9]{index=9}
403 Forbidden — что делать обычному пользователю
- Проверьте адрес страницы ещё раз.
- Очистите cookies и кэш браузера.
- Выйдите из аккаунта и зайдите снова, если это закрытый раздел.
- Попробуйте другой браузер или режим инкогнито.
- Проверьте, не работает ли сайт через другую сеть или VPN.
- Если ошибка остаётся, свяжитесь с владельцем сайта.
Если страница открывается у других, а у вас нет, возможна блокировка по IP, стране или security rule.
403 Forbidden — что делать владельцу сайта
1. Проверьте, чей это 403
Если ошибка без брендинга Cloudflare, она, скорее всего, приходит прямо от origin server. Если есть брендинг Cloudflare — проверьте правила Cloudflare и защитные механизмы. :contentReference[oaicite:10]{index=10}
2. Проверьте права доступа
Обычно папки должны иметь права 755, а файлы 644. Слишком жёсткие или кривые permissions часто вызывают 403.
3. Проверьте .htaccess
Временно переименуйте .htaccess и протестируйте сайт. Если ошибка исчезла, причина была в правилах Apache.
4. Проверьте ModSecurity и firewall
Если недавно включали защиту, временно отключите или ослабьте правила для проверки. Это один из самых частых источников 403.
5. Проверьте deny/allow rules
Ищите блокировки по IP, стране, referer, user-agent или path. Особенно важно проверить админку, API, uploads и приватные директории.
6. Убедитесь, что Cloudflare IP не заблокированы
Cloudflare прямо рекомендует проверить, не запрещены ли их IP ranges на origin server. :contentReference[oaicite:11]{index=11}
7. Проверьте WAF и Security Level в Cloudflare
Если используется Cloudflare, проверьте WAF managed rules, custom rules, Security Level, DDoS protection и Browser Integrity Check. Именно они часто дают branded 403. :contentReference[oaicite:12]{index=12}
8. Проверьте наличие index-файла
Если 403 появляется при открытии папки, убедитесь, что в ней есть index.php или index.html, либо что directory listing не запрещён там, где он нужен.
9. Проверьте CMS и плагины
На WordPress временно отключите security plugins, кэш-плагины и защиту логина. После обновлений они нередко начинают блокировать нормальные запросы.
10. Посмотрите серверные логи
Проверьте error_log, логи Apache, Nginx, ModSecurity и Cloudflare events. Это самый быстрый способ увидеть точную причину отказа.
Как исправить 403 Forbidden в WordPress
- Переименуйте
.htaccess. - Сбросьте права доступа на файлы и папки.
- Отключите security-плагины через FTP.
- Пересохраните постоянные ссылки в админке, если доступ к ней есть.
- Проверьте WAF, Cloudflare и защиту логина.
Как исправить 403 Forbidden в Cloudflare
Если ошибка с брендингом Cloudflare, сначала проверьте WAF managed rules, custom firewall rules, Security Level, Browser Integrity Check и DDoS-защиту. Cloudflare перечисляет именно эти причины как типовые для branded 403. :contentReference[oaicite:13]{index=13}
Если error page без брендинга Cloudflare, ищите причину уже на origin server: права, .htaccess, ModSecurity или IP deny rules. :contentReference[oaicite:14]{index=14}
Чем 403 отличается от 401, 404 и 500
- 401 Unauthorized — доступ требует корректной аутентификации.
- 403 Forbidden — запрос понятен, но доступ запрещён даже при повторе без изменений. :contentReference[oaicite:15]{index=15}
- 404 Not Found — ресурс не найден.
- 500 Internal Server Error — внутренняя ошибка сервера.
Как не допустить 403 Forbidden в будущем
- Не меняйте rules в
.htaccessбез бэкапа. - Держите права доступа в безопасных стандартных значениях.
- Проверяйте security-плагины после обновлений.
- Не блокируйте IP Cloudflare на origin.
- Тестируйте WAF и firewall rules перед жёстким включением.
- Следите за логами после миграции или смены CDN.
FAQ
403 Forbidden — это серверная ошибка?
Формально нет, это статус 4xx. Но на практике причина очень часто находится в настройках сервера, Cloudflare, WAF или правах доступа. :contentReference[oaicite:16]{index=16}
Почему 403 появляется даже если пароль правильный?
Потому что 403 обычно связан не с логином, а с политикой доступа, правами или защитными правилами. MDN отмечает, что повторная аутентификация чаще всего не меняет результат. :contentReference[oaicite:17]{index=17}
Может ли .htaccess вызывать 403?
Да. Cloudflare прямо указывает правила в .htaccess как одну из частых причин 403 на origin server. :contentReference[oaicite:18]{index=18}
Может ли Cloudflare вызывать 403?
Да. Cloudflare может отдавать 403 из-за WAF rules, Security Level, DDoS Protection, Browser Integrity Check и других защитных механизмов. :contentReference[oaicite:19]{index=19}
Что проверять первым делом?
Сначала выясните, чей это 403: origin server или Cloudflare. Потом уже проверяйте права доступа, .htaccess, firewall, WAF и логи. :contentReference[oaicite:20]{index=20}
