O erro 403 Forbidden no WordPress significa que o servidor recusou o acesso à página. Segundo a MDN Web Docs (2024), o servidor entende a requisição mas recusa autorizá-la. As causas mais comuns são permissão de arquivo errada, .htaccess corrompido ou plugin de segurança. Identifique a origem antes de mexer.
O erro 403 no WordPress é uma resposta HTTP em que o servidor reconhece o pedido do navegador, mas se recusa a entregar o conteúdo. Na prática, você vê uma tela “403 Forbidden”, “Acesso negado” ou “You don’t have permission to access this resource”. Na maior parte dos chamados que chegam ao suporte da FULL, a causa não é o WordPress em si, e sim a camada do servidor: uma permissão de pasta errada, uma regra no .htaccess ou um firewall bloqueando o IP. Este guia mostra como diagnosticar a origem certa e corrigir, com apoio dos guias de erros do WordPress da FULL.
Diagnóstico rápido do erro 403: Sintoma e causa
O erro 403 tem 5 origens dominantes, e cruzar o sintoma com a causa certa economiza horas de tentativa e erro. A pista mais valiosa é onde o 403 aparece: o site inteiro fora do ar aponta para permissão ou .htaccess da raiz, enquanto o 403 só no wp-admin costuma ser firewall ou bloqueio por IP. Identificar o escopo antes de mexer evita que você quebre o que estava funcionando.
A tabela abaixo cruza cada sintoma com a causa raiz provável e a primeira ação corretiva, para você não perder tempo testando a hipótese errada no .htaccess.
| Sintoma observado | Causa raiz provável | Ação corretiva inicial |
|---|---|---|
| Site inteiro retorna 403 | Permissão de pasta em 777 ou 700 em vez de 755 | Corrigir permissões de pastas para 755 e arquivos para 644 |
| 403 só no wp-admin | Firewall ou plugin de segurança bloqueando seu IP | Liberar o IP no All in One Security ou Wordfence |
| 403 em todas as URLs menos a home | Diretiva deny ou Require all denied no .htaccess | Renomear o .htaccess e regerar pelos permalinks |
| 403 ao salvar ou enviar arquivo | Regra do ModSecurity recusando a requisição | Pedir ao host a allowlist da regra do ModSecurity |
Legenda: a tela 403 vem do servidor, não do WordPress, por isso ela aparece sem o layout do seu tema.
Por que o erro 403 acontece no WordPress
O erro 403 acontece quando alguma camada entre o navegador e o WordPress decide que aquela requisição não tem autorização, e na maior parte dos casos isso parte do servidor, não do PHP do WordPress. O servidor web, seja Apache ou Nginx, valida permissão de arquivo, regra de acesso e identidade antes de o WordPress sequer carregar.
Quando uma dessas validações falha, o servidor responde 403 e encerra ali. Por isso o erro costuma não deixar rastro no log de debug do WordPress: a requisição morreu antes de chegar nele. Uma permissão de pasta em 777, um IP marcado como suspeito pelo firewall ou uma diretiva deny no .htaccess produzem exatamente a mesma tela 403, com causas completamente diferentes por trás. Distinguir a origem é o primeiro passo real da correção.
Permissão de arquivo errada: A causa número um do erro 403
A permissão de arquivo incorreta é a origem mais frequente do erro 403, e o conserto é voltar pastas para 755 e arquivos para 644. Subir wp-content via FTP com permissão 777, achando que “liberar tudo” resolve, faz o oposto: em host com suexec, o Apache recusa servir uma pasta gravável por todos por questão de segurança, e dispara o 403 na hora.
A regra prática vale para qualquer instalação: pastas em 755, arquivos em 644 e o wp-config.php em 600 ou 640. O chmod via cliente FTP ou terminal corrige em massa. Se você herdou um site com permissões bagunçadas, o passo a passo completo está no guia de correção de permissões de arquivos e pastas, que detalha como aplicar o valor certo recursivamente sem quebrar uploads. Nunca deixe 777 em produção: além do 403, é porta aberta para malware.
.Htaccess corrompido ou com regra deny
O .htaccess corrompido é a segunda causa mais comum, e renomeá-lo costuma derrubar o 403 em menos de 1 minuto. Uma diretiva Require all denied herdada na raiz, com Nginx atuando como proxy reverso na frente do Apache, gera 403 em todas as URLs internas enquanto a home continua abrindo, o cenário que mais confunde quem está diagnosticando.
A correção segura é renomear o arquivo para .htaccess_old via FTP e, no painel, ir em Configurações, Links permanentes e clicar em Salvar: o WordPress regenera um .htaccess limpo e padrão. Se o site voltar, a regra problemática estava ali. Plugins de cache e segurança, como WP Rocket e All in One Security, escrevem no .htaccess, então uma atualização malsucedida pode deixar lixo. As regras de segurança no .htaccess são úteis, mas precisam de sintaxe exata, e um único bloco mal fechado já dispara o 403.
Plugin de segurança ou firewall bloqueando o acesso
O plugin de segurança é a causa típica quando o 403 atinge só o wp-admin ou só você, e a pista é que o site abre normal no anônimo de outro dispositivo. Uma regra deny do ModSecurity em servidor Apache, ou um bloqueio de IP no firewall do WordPress, recusa a requisição antes de o WordPress responder, sem registrar nada no log dele.
Firewalls como All in One Security, Wordfence e Sucuri bloqueiam IPs após tentativas de login falhas ou padrões considerados suspeitos. Se o 403 começou depois de várias tentativas de senha, é provável que seu próprio IP tenha entrado na blocklist. A gente vê no suporte da FULL que trocar de rede (do Wi-Fi para o 4G) confirma o diagnóstico na hora: se o site abre no celular fora do Wi-Fi, é bloqueio por IP. A correção é acessar o painel do plugin de outro IP e remover o seu da lista, ou pedir ao host para liberar a regra do ModSecurity que está pegando requisições legítimas.
Decisão rápida: Por onde começar a correção
A ordem da correção depende do escopo do erro 403, e seguir a árvore abaixo evita que você mexa na camada errada. Cada ramo isola uma causa antes de partir para a próxima, do mais provável ao mais raro.
- Se o site inteiro retorna 403 → cheque as permissões: pastas 755, arquivos 644, wp-config 600.
- Se o 403 aparece em todas as URLs menos a home → renomeie o .htaccess e regere pelos links permanentes.
- Se o 403 atinge só o wp-admin ou só o seu acesso → troque de rede e libere seu IP no firewall.
- Se o 403 surge ao salvar ou enviar arquivo → suspeite do ModSecurity e acione o suporte do host.
Resolva erros do WordPress no plano certo: A conta do r$85 por site
Corrigir um erro 403 manualmente resolve o sintoma; ter o ambiente gerenciado evita que ele volte e ainda cobre os próximos erros. O plano PRO da FULL custa R$849,90 e inclui o bundle com os 17 plugins premium ativados em um clique, entre eles All in One Security para o firewall, WP Rocket para o cache e UpdraftPlus para o backup que salva você antes de qualquer ajuste arriscado.
Como o PRO cobre até 10 sites, a conta fecha em cerca de R$85 por site, valor que paga sozinho na primeira correção que você não precisa contratar avulsa. A gente vê no suporte da FULL que site com permissões e firewall bem configurados raramente cai em 403 inesperado. Conheça os planos da FULL e mantenha os erros do servidor longe.
Como evitar que o erro 403 volte a aparecer
Evitar a volta do erro 403 depende de manter as permissões corretas e o .htaccess sob controle, não de torcer para não acontecer de novo. Sites com permissões padronizadas e firewall configurado com allowlist do próprio IP reduzem bastante a chance de 403 acidental, porque a maioria dos casos nasce de ajuste manual mal feito, não de bug do WordPress.
A rotina mínima tem 4 pilares: manter pastas em 755 e arquivos em 644; nunca subir nada em 777; adicionar seu IP fixo na allowlist do firewall; e versionar ou fazer backup do .htaccess antes de editar. Vale também testar o site em uma aba anônima e em outra rede sempre que surgir um 403, para separar bloqueio por IP de erro de servidor. Para um diagnóstico estruturado de outros erros, o guia de correção de erros comuns do WordPress cobre o passo a passo de cada tela de falha.
Perguntas frequentes sobre o erro 403 no WordPress
Por que o erro 403 aparece só em algumas páginas do WordPress?
Porque a causa está numa regra de URL específica, não no site todo. Uma diretiva deny no .htaccess ou uma regra do ModSecurity que pega só wp-admin, wp-login ou uploads bloqueia aquele caminho e deixa a home passar. Renomeie o .htaccess e regere pelos links permanentes para isolar: se as páginas voltam, a regra estava ali. Se persistir só no painel, suspeite do firewall bloqueando seu IP.
É possível corrigir o erro 403 sem mexer no .htaccess?
Sim, quando a causa é permissão de arquivo ou bloqueio de IP. Se o site inteiro retorna 403, ajustar pastas para 755 e arquivos para 644 via FTP resolve sem tocar no .htaccess. Se o 403 atinge só o wp-admin, liberar seu IP no All in One Security ou Wordfence basta. O .htaccess só entra quando o erro aparece em todas as URLs menos a home, sinal clássico de diretiva deny herdada na raiz.
Qual a diferença entre erro 403 e erro 404 no WordPress?
O erro 403 significa que o recurso existe, mas o servidor recusa autorizar o acesso; o erro 404 significa que o recurso não foi encontrado. No 403 o problema é permissão ou bloqueio (.htaccess, firewall, chmod). No 404 o problema é o endereço (link quebrado, permalink ausente, página apagada). Ambos vêm do servidor, mas a correção é oposta: 403 se trata na camada de acesso, 404 na de roteamento de URL.
Quanto tempo leva para resolver um erro 403 no WordPress?
Na maioria dos casos, menos de 15 minutos quando a causa é identificada certo. Renomear o .htaccess leva 1 minuto; corrigir permissões em massa via FTP, cerca de 5; liberar um IP no firewall, instantâneo. O que mais consome tempo é diagnosticar a camada errada, por isso vale usar a tabela de sintomas antes de agir. Bloqueio por ModSecurity pode depender do suporte do host e levar algumas horas.
Como sei se o erro 403 vem do servidor ou de um plugin de segurança?
Teste o site em outra rede e em aba anônima. Se o 403 some no 4G do celular mas persiste no Wi-Fi de casa, é bloqueio por IP de um plugin como Wordfence ou All in One Security. Se o 403 aparece para todo mundo e em qualquer rede, a causa está no servidor: permissão de arquivo, .htaccess ou ModSecurity. Essa separação simples evita você mexer no .htaccess quando o problema era só o firewall.
Próximos passos para deixar o erro 403 para trás
O erro 403 no WordPress quase nunca é bug do WordPress: é o servidor recusando o acesso por permissão errada, regra no .htaccess ou firewall bloqueando o IP. O caminho é sempre o mesmo: identifique o escopo do erro com a tabela de sintomas, comece pela causa mais provável, corrija uma camada por vez e faça backup antes de editar qualquer arquivo. A maioria dos 403 que a FULL atende nasce de um ajuste manual mal feito, o que torna a prevenção mais barata que a correção. Para continuar resolvendo erros do WordPress com método, o FULL Academy reúne os tutoriais e guias de correção em um só lugar.
Saúde e Bem-Estar
Restaurantes & Alimentação
Hotelaria & Turismo
Imobiliárias & Construção
Negócios Locais & Franquias
E-commerce & Lojas Virtuais
Educação & Cursos
Profissionais Liberais & Serviços
Agências Digitais & Freelancers
MEIs e Autônomos
Agências e Freelancers
Pequenas Empresas
Startups
Franquias
Elementor PRO
Rank Math
SEOPress
Happy Addons
Tutor LMS
WP Optimize
Crocoblock
WP Rocket
Ultimate Addons
Perfmatter
Funnel Kit
AIOS
Astra PRO
ACF
Essential Addons
WP Forms
UpdraftPlus
Ver mais
FULL CRM 
FULL Widget
FULL Woo
FULL Pop-up
FULL Security
FULL NPS
FULL Update
FULL Social Proof
FULL Analytics
FULL Templates
FULL Creator AI
FULL Backup
FULL Safe Login
FULL SMTP
FULL Monitor
FULL Speed
FULL Cache
FULL Whitelabel
