Ошибка 403 Forbidden означает, что сервер получил запрос и понял его, но отказал в доступе: страница закрыта настройками, правами на файлы или защитой. Это не поломка кода, а запрет: где-то стоит правило, которое не пускает вас или всех посетителей. Чтобы исправить 403, нужно найти источник запрета - права файлов, директивы .htaccess, файрвол, блокировку по IP или ограничение хостинга. Ниже - семь причин по частоте и порядок диагностики.

Не путайте с 401. Ошибка 401 - «представьтесь»: сервер ждёт логин и пароль. Ошибка 403 - «вход воспрещён»: сервер знает, кто вы, но пускать не собирается. Для 401 достаточно авторизоваться, с 403 придётся разбираться в настройках.

7 причин ошибки 403 Forbidden - от частых к редким

  • Неверные права на файлы и папки - после переноса или правок по FTP права сбились: папкам нужно 755, файлам 644, и корректный владелец
  • Нет индексного файла - index.php удалили или переименовали, а показ содержимого каталога запрещён: сервер отвечает 403
  • Запрет в .htaccess или конфиге сервера - директивы deny, Require, гео-правила: часто остаются от старых подрядчиков
  • Блокировка вашего IP - файрвол или fail2ban занёс адрес в чёрный список после «подозрительной» активности, например перебора пароля
  • Сработал WAF - защитный экран (ModSecurity и аналоги) принял безобидный запрос за атаку
  • Ограничение хостинга - неоплата, жалобы, вредоносная активность: площадка закрывает сайт целиком
  • Последствия взлома - чужой .htaccess и сбитые права после заражения: сверьтесь с нашим планом действий при взломе

Как диагностировать ошибку 403 по шагам

  1. Проверьте с другого IPОткройте сайт с телефона через мобильный интернет. Открылся - заблокирован именно ваш адрес, а не сайт: пишите администратору или в поддержку.
  2. Определите масштаб403 на одной странице, в одной папке или на всём сайте - это три разных диагноза: правило, каталог или блокировка площадки.
  3. Откройте error_logВ логе сервера написано, какое правило сработало и на какой путь. Это самый короткий путь к причине.
  4. Проверьте права и владельца файловЧерез FTP или панель хостинга: папки 755, файлы 644. После переноса сайта отдельно проверьте владельца - файлы, залитые не тем пользователем, сервер читать откажется.
  5. Просмотрите .htaccess по всей цепочкеПравила наследуются: запрет в корне действует на все подпапки. Ищите deny, Require и блоки с IP-адресами.
  6. Загляните в почту от хостингаБлокировки за неоплату или вирусы приходят с предупреждением - письмо часто уже ждёт во входящих.
Никогда не ставьте права 777. Да, сайт может ожить - вместе с этим любой скрипт на сервере получит право писать в ваши файлы. Такое «лечение» 403 - самая частая прелюдия к настоящему взлому. Правильные права: 755 на папки, 644 на файлы.

403 не сдаётся?

Найдём правило или блокировку, вернём доступ и настроим защиту так, чтобы она не мешала клиентам и роботам. Типовые случаи закрываем за несколько часов.

Вернуть доступ

Где встречается 403 и что проверять в первую очередь

Где появляется 403Что проверить
Весь сайтБлокировку хостинга, deny в корневом .htaccess, права корневой папки
Одна папка или раздел.htaccess в этой папке, права, защиту от хотлинка
Только админкаОграничение по IP в проактивной защите, изменившийся адрес офиса
Только у васСвой IP в чёрном списке, VPN, корпоративный файрвол
Только у поисковых роботовWAF или гео-фильтр режет ботов: смотрите отчёты в Search Console

403 в админке Битрикс и на части страниц: особые случаи

На 1С-Битрикс частый сценарий - админка отдаёт 403 после переезда офиса: в проактивной защите включено ограничение по IP, а адрес сменился. Список разрешённых адресов обновляется в настройках защиты, в крайнем случае - правкой служебного файла доступа по FTP. Второй сценарий - WAF блокирует вебхуки и интеграции (оплату, доставку, обмен с 1С): для их адресов нужны исключения. Тонкую настройку защиты без дыр и лишних запретов делаем в рамках доработки сайтов.

Совет. Ограничение админки по IP - правильная практика, не отключайте её из-за разового 403. Добавьте в список запасной способ входа: статический IP офиса плюс адрес VPN, чтобы смена провайдера не отрезала вас от сайта.

Частые вопросы об ошибке 403

Ошибка 403 только у меня, у остальных сайт открывается. Почему?
Ваш IP попал в чёрный список: файрвол среагировал на частые запросы, неудачные попытки входа или VPN-адрес с плохой репутацией. Смените сеть, отключите VPN и напишите администратору сайта, чтобы адрес разблокировали. Общий порядок самопроверки - в чек-листе диагностики.
403 появилась после переноса сайта на новый хостинг. Что проверить?
Три вещи: права и владельца файлов (архив мог распаковаться от другого пользователя), наличие index.php в корне и совместимость правил .htaccess с новым сервером. На nginx директивы Apache не работают - правила нужно переносить в конфиг.
Search Console пишет «Доступ запрещён (403)». Чем это грозит?
Робот не видит страницы - они постепенно выпадут из индекса, и трафик уйдёт. Обычно виноват WAF, гео-блокировка или анти-бот фильтр. Разрешите доступ поисковым роботам и запросите переобход страниц.
Можно ли просто отключить WAF, чтобы 403 исчезла?
Технически да, но вы снимете защиту от реальных атак. Правильно - настроить исключения для ложных срабатываний: конкретные адреса, страницы, интеграции. Это час-два работы специалиста, а не выбор между безопасностью и работоспособностью.

Итог: 403 - это всегда чей-то запрет, и его источник находится по логам и настройкам за час. Не хочется копаться в правах и правилах - передайте задачу нам: в рамках администрирования сайтов вернём доступ, наведём порядок в защите и оставим понятную памятку, что и где настроено. Консультация бесплатная.