Errore 403 Forbidden su WordPress
Cos’è l’errore 403 Forbidden su WordPress e perché compare
L’errore 403 Forbidden significa che il server ha ricevuto la richiesta ma ha rifiutato esplicitamente di soddisfarla, a differenza di un errore di connessione al database o di un errore 500: qui il server “capisce” la richiesta, ma qualcosa gli impedisce di mostrarti il contenuto. Su WordPress questo accade quasi sempre per uno di tre motivi: permessi dei file sbagliati, una regola di blocco nel file di configurazione del server, o un intervento attivo di un sistema di sicurezza.
Permessi di file e cartelle troppo restrittivi
La causa più comune, soprattutto dopo un trasferimento di file (migrazione, ripristino da backup, caricamento manuale via FTP), riguarda i permessi assegnati a file e cartelle: se sono impostati in modo troppo restrittivo — o, in alcuni casi, se un plugin di sicurezza o l’hosting stesso blocca permessi ritenuti troppo aperti — il server web non riesce a leggere i file necessari per generare la pagina, e restituisce 403 invece di mostrare il contenuto.
Una regola di blocco esplicita rimasta nel file .htaccess
Una causa frequente riguarda il file .htaccess: se contiene una regola che blocca esplicitamente l’accesso (ad esempio una riga Deny from all lasciata da una configurazione di manutenzione o da un ambiente di staging poi copiato in produzione per errore), il server nega l’accesso a tutto il sito o a una sua parte specifica, in base a dove si trova quella regola nel file.
Un plugin di sicurezza o il firewall del server blocca la richiesta
Un caso da non escludere riguarda un intervento attivo di sicurezza: un plugin firewall installato su WordPress, o un sistema di protezione a livello di server (come mod_security), può bloccare una richiesta specifica ritenuta sospetta — per il tuo indirizzo IP, per il tipo di richiesta, o per un pattern considerato un tentativo di attacco — restituendo 403 anche se il sito, per il resto, funziona normalmente.
Come capire la causa esatta
Il primo passaggio utile è capire se l’errore riguarda tutto il sito o solo una parte specifica, perché questo restringe subito il campo tra le cause possibili.
L’errore riguarda tutto il sito o solo una pagina/cartella specifica
Se il 403 compare su ogni pagina del sito, comprese homepage e wp-admin, il problema riguarda più probabilmente i permessi generali o una regola nel .htaccess principale. Se invece l’errore compare solo su una pagina, una cartella specifica (ad esempio wp-content/uploads) o durante un’azione precisa (il caricamento di un’immagine, un’area riservata), il problema è più localizzato: permessi di quella cartella specifica, o una regola mirata solo a quel percorso.
Verificare i permessi attuali di file e cartelle
Collegati via FTP/SFTP e osserva i permessi mostrati accanto a file e cartelle (spesso indicati come numeri, ad esempio 644 o 755, oppure come lettere rwx nel client FTP): valori come 000, 600 senza il permesso di lettura per il gruppo, o comunque diversi dagli standard di WordPress, sono un segnale diretto della causa più probabile.
| Sintomo osservabile | Causa probabile |
|---|---|
| 403 su tutto il sito, comparso dopo un trasferimento o un ripristino di backup | Permessi di file e cartelle non corretti dopo il trasferimento |
| 403 solo su una cartella specifica (es. wp-content/uploads) | Permessi errati solo per quella cartella, non per l’intero sito |
| 403 comparso dopo una modifica manuale del file .htaccess o dopo un ambiente di staging copiato in produzione | Regola di blocco esplicita (es. Deny from all) rimasta nel file |
| 403 solo per te o per un indirizzo IP specifico, il sito funziona per altri visitatori | Blocco imposto da un plugin di sicurezza o dal firewall del server per quell’indirizzo |
| 403 comparso improvvisamente senza modifiche recenti al sito | Possibile intervento del firewall del server (mod_security) su una richiesta considerata sospetta |
Risolvere l’errore 403: correggere i permessi di file e cartelle
Per il caso più comune — permessi non corretti dopo un trasferimento — la soluzione è riportarli ai valori standard che WordPress si aspetta.
Verificare i permessi attuali via FTP
Collegati via FTP/SFTP, seleziona la cartella principale del sito e verifica i permessi mostrati dal client per file e cartelle: la maggior parte dei client FTP permette di vedere questo valore facendo clic destro su un file o una cartella e scegliendo “Permessi” o “Attributi file”.
Impostare i permessi corretti
Lo standard per WordPress prevede permessi 755 per le cartelle (permesso di lettura ed esecuzione per tutti, scrittura solo per il proprietario) e 644 per i file (lettura per tutti, scrittura solo per il proprietario). Nel client FTP, seleziona tutte le cartelle e applica 755 con l’opzione “applica alle sottocartelle”, poi seleziona tutti i file e applica 644 allo stesso modo, senza includere le cartelle in questo secondo passaggio per non sovrascrivere il valore appena impostato.
Verificare che il sito torni accessibile
Ricarica il sito in una scheda anonima: se il problema era davvero legato ai permessi, l’errore 403 dovrebbe sparire immediatamente, sia in area pubblica sia in wp-admin.
.htaccess con una regola di blocco, o firewall/plugin di sicurezza
Se i permessi risultano già corretti, apri il file .htaccess via FTP e cerca righe che contengono Deny from all, Require all denied, o blocchi che sembrano provenire da una configurazione di manutenzione o staging: se ne trovi una che non dovrebbe essere lì, rimuovila e salva il file, lasciando intatto il blocco standard generato da WordPress (tra # BEGIN WordPress e # END WordPress). Se invece l’errore riguarda solo il tuo indirizzo IP mentre il sito funziona per altri visitatori, il sospetto principale è un plugin di sicurezza o il firewall dell’hosting: verifica nelle impostazioni del plugin se il tuo IP compare in una lista di blocco, oppure contatta il supporto dell’hosting chiedendo se il tuo indirizzo risulta bloccato a livello di server (mod_security), fornendo l’orario esatto in cui hai riscontrato il problema.
Non riesci a risolvere? Intervento tecnico a distanza
Se hai già verificato permessi e file .htaccess senza risultato, se non sei sicuro di come intervenire su un plugin di sicurezza senza rischiare di ridurre la protezione del sito, o se sospetti un blocco a livello di firewall del server che non riesci a verificare da solo, continuare a modificare permessi e file per tentativi rischia di introdurre nuovi problemi. In questi casi è possibile richiedere una verifica diretta dell’accesso FTP/SFTP e del pannello hosting: si individua con precisione la causa esatta del blocco e si corregge senza compromettere la sicurezza del sito.
Domande frequenti sull’errore 403 Forbidden su WordPress
Perché l’errore 403 è comparso proprio dopo un trasferimento di file? Perché molti strumenti di trasferimento (FTP, alcuni plugin di migrazione) non sempre preservano i permessi originali di file e cartelle, spesso impostandoli a valori diversi da quelli standard richiesti da WordPress per funzionare correttamente.
Devo impostare gli stessi permessi per tutti i file del sito? In generale sì, 644 per i file e 755 per le cartelle sono lo standard raccomandato; alcune eccezioni specifiche (come wp-config.php, per cui alcuni consigliano 440 o 400 per maggiore sicurezza) vanno valutate separatamente, non applicate a tutto il sito.
L’errore 403 può dipendere da un problema del mio browser? È raro, ma per escluderlo prova ad aprire il sito da un altro browser o dispositivo, oppure in una scheda anonima: se l’errore persiste ovunque, la causa è lato server, non del tuo browser specifico.
Come faccio a sapere se il mio IP è stato bloccato da un firewall? Se il 403 compare solo per te mentre altri visitatori accedono normalmente al sito, è il segnale più chiaro di un blocco specifico sul tuo indirizzo, verificabile nelle impostazioni del plugin di sicurezza installato o chiedendo conferma all’hosting.
Un errore 403 può ripresentarsi dopo averlo risolto? Sì, se la causa di fondo (ad esempio un processo di trasferimento file che imposta sempre permessi errati) non viene corretta alla radice, ogni futuro trasferimento o ripristino può riportare lo stesso problema.
Vuoi risolverlo con un intervento diretto? Se l’errore 403 persiste dopo aver verificato permessi e file .htaccess, è possibile richiedere una verifica diretta dell’accesso FTP/SFTP e del pannello hosting: si individua la causa esatta e si corregge senza compromettere la sicurezza del sito. → Richiedi un intervento tecnico.
