El error 403 Forbidden es uno de los errores más comunes de Internet, y ocupa el peleado segundo lugar con los error de 404 No encontrado y con el error 500 (Error interno del servidor). Preparamos esta nota, no sólo para entender de qué se trata, sino también aprender a cómo solucionarlo.

En esta oportunidad vamos a explicarte qué es el error 403 Forbidden en detalle, enseñarte a diagnosticarlo, identificar sus posibles causas y a darte algunos consejos para que puedas arreglarlo. Si eres usuario de WordPress y estás recibiendo un error 403 Forbidden, esta nota también es para ti ya que no podemos dejar pasar que gran parte de los sitios en Internet están hechos en este maravilloso gestor de contenidos.

¿Qué es el error 403 Forbidden?

403 Forbidden es un error que arroja el servidor provocado por una petición del navegador del usuario que es considerada errónea, y tiene como efecto prohibir a un visitante acceder a la página que está intentando abrir. Aunque a veces también puede estar en el servidor y es lo que te ayudaremos a diagnosticar.

¿Te ha ocurrido alguna vez recibir un error 403 Forbidden? Lo más probable es que si estás leyendo este artículo sea porque no tengas idea de por qué se ha producido este error. Si bien permanentemente desorienta a usuarios y desarrolladores, regularmente se soluciona fácil si le dedicas un poco de tiempo y atención, así que no desesperes.

El Error 403 Forbidden en haciéndose ver en un navegador.

Existen varias formas en la que los sitios web pueden mostrar un error de este estilo, pero en el grueso de los casos usan estos nombres que son ligeramente diferentes como lo ves aquí:

• 403 Prohibido
• HTTP 403
• Prohibido
• Error HTTP 403 – Prohibido
• Error HTTP 403.14 – Prohibido
• Error 403
• Prohibido: No tiene permiso para acceder al directorio x en este servidor
• Error 403 – Prohibido

Error 403 vs 401: ¿Cuál es la diferencia?

El error 401 es un problema de autenticación, mientras que el error 403 es un problema de permisos definidos por el administrador del sitio web o por un error. Aunque los errores 403 y 401 suelen confundirse, no significan lo mismo. El error 401 aparece cuando una página web necesita que te identifiques (por ejemplo, con usuario y contraseña), pero esa información no se envió cuando el navegador la solicitó o no fue válida. En cambio, el error 403 indica que el servidor sí te reconoce como navegante del sitio web válido, pero no te permite acceder al contenido.

¿Cuáles son las causas del error 403 prohibido?

Las causas por las que un error 403 puede aparecer al visitar una página web o una URL son variadas, así que te nombraremos a continuación cuáles son:

✔️ Error de tipeo o un cambio en las URL del sitio

El error humano suele suceder, y si estamos ingresando a una URL existente que contiene archivos y carpetas de nombres similares que pueden prestar a confusión, pues podemos encontrarnos con un 403 Forbidden. También es común que con el tiempo, los contenidos de un sitio se muevan de ubicación o se eliminen, y su administrador haya olvidado crear una redirección a la nueva ubicación del recurso.

✔️ Dominio mal delegado o hosting vacío

Puede que el dominio al que estás intentando acceder no esté correctamente delegado o aún su dueño no subió el contenido del sitio. Esto suele ocurrir a menudo cuando se trata de una página web nueva.

✔️ Un sitio web infectado

A menudo las infecciones con malware afectan direcciones URL o recursos web que terminan en un error 403 ya que algún elemento se termina rompiendo y provocando una respuesta errónea en el navegador.

✔️ Un problema de permisos (chmod)

Los archivos y carpetas tienen un sistema de permisos que permiten o no que los visitantes puedan ver, escribir o ejecutar un contenido. Si los permisos no están correctamente seteados en tu sitio web, podrías recibir un error 403.

✔️ Falta el archivo index

Que falte el archivo index adentro de una carpeta o en el directorio raíz del sitio es motivo para un error 403 Forbidden. Si no hay índice, lo más probable es que antes de mostrar el contenido de una carpeta vacía o con archivos sueltos, por cuestiones de seguridad el servidor devuelva un 403.

✔️ Una regla de htaccess o de Mod Security

Una regla específica en el archivo htaccess que impida el acceso a un contenido o una regla de seguridad de Mod Security del hosting pueden dar error 403 Forbidden.

✔️ Una dirección IP bloqueada o rango IP bloqueado

Puede que recibas un error 403 si estás navegando desde una IP o rango de direcciones IP bloqueado. A veces, por seguridad o por sospecha, el proveedor de hosting podría bloquear tu dirección IP de navegación. Lo mismo puede ocurrir a un nivel más amplio si directamente se bloqueó un rango de direcciones IP.

✔️ Que un plugin de WordPress esté mal configurado o roto

Un plugin de WordPress como los plugins de seguridad o una actualización fallida de ellos también puede dar como resultado un error 403.

¿Por qué aparece “No se puede acceder a este sitio”?

Cuando aparece el mensaje “No se puede acceder a este sitio” junto con un error 403 o en relación con él, significa que el servidor recibió la solicitud del navegador, pero bloqueó el acceso al contenido que estabas pidiendo. En estos casos, el mensaje lo muestra el navegador como una forma general de indicar que la página existe o que es inaccesible, pero la realidad es que el servidor no permite verla.

Como ya repasamos anteriormente, esto puede deberse a varias razones: el sitio puede tener restricciones de acceso, el administrador del servidor pudo haber bloqueado tu dirección IP o tu ubicación, o bien puede haber un error en la configuración de permisos o archivos internos, como el .htaccess. En pocas palabras, el servidor sabe que estás intentando ingresar, pero por alguna política o configuración te deniega el acceso.

¿Cómo solucionar un error 403 Forbidden?

Ahora que conocemos sus causas más comunes, centrémonos en cómo solucionarlo. Empecemos desde los más simples hasta los más complejos.

✅ Revisa el archivo .htaccess

El archivo .htaccess es un archivo oculto que guarda configuraciones y directivas de seguridad para tu web, para permitir o no su ingreso, y de qué manera. Es frecuente que si tu sitio web lleva tiempo en línea, hayas aplicado un montón de reglas o medidas de seguridad, y este archivo esté un poco sucio. ¿Por qué no lo examinas un poco? Tal vez alguna directiva se esté pisando con otra, o algo esté provocando que no puedas acceder a tu sitio web parcial o totalmente. La instalación de un complemento o una actualización de tu web también puede traer este problema.

Te mostramos en esta guía cómo abrir y editar el contenido de tu archivo .htaccess.

En este ejemplo, una IP está siendo denegada en el .htaccess, y se trata de la IP del navegante, con lo cual el sitio web arrojó un error 403 Forbidden en el navegador.

👉 Si tu página web está hecha en WordPress, entonces puedes reemplazar su contenido por este código por defecto del htaccess de WordPress para comprobar si alguna de las sentencias guardadas estaba generando conflicto. Si haces esto, no olvides hacer una copia de seguridad del archivo antes.

✅ Desactiva temporalmente los plugins de seguridad

A veces, ante una actualización de la versión de WordPress o mismo de los plugins de seguridad, este puede “romperse”, y como los complementos de seguridad manejan el control de acceso al sitio web, pueden arrojar un error 403 Forbidden.

Esto se soluciona desactivando temporalmente el o los plugins de seguridad, por ejemplo WordFence, y luego intentando ingresar de nuevo. Si a causa del error 403 no puedes acceder siquiera a wp-admin, entonces abre el Administrador de Archivos de cPanel y renombra la carpeta del plugin dentro del directorio “wp-content” ubicada en el raíz de tu instalación de WordPress.

Si era esta la falla, entonces puede eliminar el plugin e instalarlo de nuevo; y si estás usando el hosting de WNPower, puedes reinstalarlo en 1 clic con WordPress Doctor. 👍

✅ Comprueba si tu sitio no está infectado

La infección con malware está a la orden del día. La falta de actualización de un plugin, tu theme, de WordPress, o una contraseña guardada en el navegador pueden disparar un sitio infectado.

Para ello creamos estas guías, de manera que puedas repasarlas a fondo intentando detectar una falla de seguridad aprovechada por un virus web. Estas guías repasan los problemas más comunes empezando por descuidos en el área de cliente como problemas más profundos y rebuscados:

• Cómo reparar un WordPress infectado (mega-guía)
• Cómo reparar un sitio web infectado con las herramientas de WNPower

✅ Constata los permisos de los archivos y carpetas

Otra razón para recibir un error 403 Forbidden es que estén mal asignados los permisos de los archivos o carpetas de tu sitio web. En general, cuando utilizamos un CMS (gestor de contenidos) este crea archivos durante su instalación, y estos vienen con ciertos permisos predeterminados. Los permisos no hacen más que controlar cómo un usuario o aplicación puede leer, escribir y ejecutar archivos para hacer funcionar tu sitio web.

Si estás trabajando con WordPress necesitarás contar con los permisos correctos en tus archivos y carpetas en tu servidor web, por lo que si son incorrectos tu WordPress te bloqueará ciertas acciones tales como subir imágenes, crear galerías y muy probablemente correrá peligro de ser infectado.

¿Tienes una cuenta con WNPower? Pues esto no representa un problema para ti ya que preparamos una herramienta especial para que puedas corregir los permisos de tu sitio web en tan solo un clic. Sin duda esta herramienta te ahorrará muchísimo tiempo si necesitas resetear tus permisos a la configuración predeterminada. Reset de permisos es parte de las Herramientas de Hosting exclusivas de WNPower.

Normalmente, los permisos correctos para un gestor de contenidos son los siguientes:

• Asignar 644 para todo tipo de archivos.
• Agregar permisos 755 para todas las carpetas.

Te mostramos aquí cómo hacerlo usando FTP, teniendo en cuenta que el grueso de nuestros clientes utilizan Filezilla. Si cuentas con otro cliente FTP, es probable que encuentres pasos similares para poder lograrlo.

1. Ingresa a tu cliente FTP y conecta con tu cuenta de Hosting.
2. Una vez dentro de tu FTP, haz clic derecho sobre tu directorio home (en nuestro caso es public_html) y luego clic en Permisos de Archivos.
3. Escribe 755 en valor numérico y tilda las casillas Incluir todos los subdirectorios y Aplicar solo a directorios.
4. Ahora haz clic en Aceptar y se habrán aplicado los permisos 755 a todos los directorios de tu cuenta de Hosting.

Apliquemos ahora los permisos 644 a los archivos de tu Hosting:

1. Haz clic derecho sobre tu directorio home (public_html en este ejemplo).
2. Selecciona Permisos de Archivos.
3. Escribe el valor numérico 644 y marca la opción Incluir todos los subdirectorios y Aplicar solo a ficheros.
4. Haz clic en Aceptar.

Ahora todos los permisos de tu Hosting están seteados correctamente. Si era esta la causa de tu error 403 Forbidden, intenta acceder a tu sitio o haz un refresh para ver si resultó 🙂 .

✅ Revisa si la dirección web a la que intentas acceder está protegida con contraseña

Puede que si el sitio web estaba en desarrollo, si administrador haya cometido el olvido de quitar la protección de uno o más directorios para que todos los visitantes puedan navegarlo. Por lo general esto suele suceder por un descuido y de esta manera que te mostramos a continuación, puedes revisar si el sitio web en general o un directorio está protegido por contraseña.

✅ Bloqueos de seguridad del proveedor de alojamiento web

Hay ciertas peticiones que están bloqueadas por los proveedores de hosting ya que usualmente se usan para atacar a los sitios o pueden exponer información sensible, siendo las más comunes:

• /xml-rpc.php: que por lo general está activado para User-Agents como: wp-android, wp-iphone, WordPress, Jetpack, Windows Live Writter, wc-android, WooCommerce
• Bots como andexbot, Typhoeus, MJ12bot, Seekport Crawler
• /wp-content/uploads/*.php: ya que no debería haber archivos .php dentro de la carpeta “uploads” de WordPress
• Ubicaciones como “/.vscode”, “/.git” o “/error_log”.

✅ Mod Security está bloqueando tu petición

Mod_security es un conjunto de reglas estandarizadas que protegen tu sitio web de amenazas tales como peticiones erróneas o inyecciones de código, lo que puede hacer que scripts maliciosos afecten a tu site y lo estropeen por completo, y funciona a modo de firewall web. Pero… esta funcionalidad a veces puede arrojar falsos positivos.

Todas las solicitudes a tu servidor web están filtradas por estas reglas de seguridad y, si arrojan resultados positivos se le negará al usuario el acceso a la página mostrando el error 403 como resultado. Mod_security busca, por ejemplo en los GET o POST en las presentaciones de formularios o campos de texto, con lo que si al ingresar a un login web o completar un formulario ves un error 403 Forbidden, es probable que el problema esté aquí.

Si cuentas con un Hosting con cPanel, podrás detectar fácilmente este problema accediendo al registro de errores de Apache en la sección Métricas, ícono Errores.

En WNPower te permitimos deshabilitar mod_security total o parcialmente si te está causando algún tipo de problemas. Dentro del apartado Seguridad en tu cPanel encontrarás la opción ModSecurity.

✅ Falta el archivo de inicio en tu sitio web

Si eres el administrador del sitio web y te da error 403 Forbidden al ingresar a tu sitio, asegúrate haber cargado un archivo de index en tu home dir. Esto lo puedes chequear ingresando al Administrador de Archivos de tu panel de control, o si eres de los que todavía utilizas FTP, puedes usar este medio.

✅ Tu dirección IP puede estar bloqueada en cPanel

cPanel tiene una funcionalidad de bloqueo de IP, y por alguna razón tu dirección IP o rango puede estar enlistada en esta función. Si esto se cumple, verás un error 403 Forbidden al acceder a tu web.

✅ Revisa que tu dominio esté delegado correctamente

No suele ocurrir demasiado seguido, pero si tu dominio no está delegado a los DNS correctos, si bien el error más común es el DNS_PROBE_FINISHED_NXDOMAIN, el resultado al acceder por navegador puede ser un error 403 Forbidden. Algunos proveedores de alojamiento web o parking de dominio no tienen una página genérica para un sitio no configurado en el servidor web y dan como resultado el error 403 Prohibido.

✅ Actualiza la página en el navegador y borra el caché

Puede tratarse de un error temporal o de interpretación del servidor a tu petición. Intenta dándole “Control + F5” y elimina el caché del navegador.

Si lo deseas, también puedes renovar el caché del servidor web.

Soluciones rápidas desde cPanel y Apache/Nginx

Estas soluciones son un poco más técnicas y a menudo es probable que tengas que tener acceso a la consola del servidor o a una terminal dentro del panel.

Revisar permisos de archivos y carpetas

Asegúrate de que los archivos tengan permisos 644 y las carpetas 755.

chmod -R 755 /var/www/html

Y verifica que el usuario del servidor web (por ejemplo, www-data o apache) tenga acceso al directorio del sitio.

Verificar el archivo .htaccess

Un error en las reglas puede causar un 403. Renombra temporalmente el archivo:

mv .htaccess .htaccess_backup

Luego recargá la página. Si funciona, el problema está en alguna directiva del .htaccess.

Habilitar el acceso en la configuración

En el archivo de configuración del sitio (por ejemplo /etc/apache2/sites-available/tu-sitio.conf), asegurate de que el bloque permita acceso:

Require all granted

Después reinicia Apache:

systemctl restart apache2

Al finalizar reinicia también Nginx

Para reiniciar Nginx, ejecuta este comando:

systemctl restart apache2

Prevención: buenas prácticas para evitar errores 403 recurrentes

Repasando y conjugando lo que ya vimos, para evitar que el error 403 aparezca de forma recurrente, es importante mantener una configuración ordenada y segura del servidor. En primer lugar, asegúrate de que los permisos de archivos y carpetas sean los correctos: las carpetas deben permitir lectura y ejecución (755) y los archivos solo lectura (644).

También conviene evitar modificar el archivo .htaccess sin respaldo, ya que un error en sus reglas puede bloquear el acceso a todo el sitio.

Otra recomendación, si estás usando un entorno basado en Nginx o Apache, verifica periódicamente que la ruta del directorio raíz esté bien definida y que el usuario del servidor (como www-data) tenga permisos adecuados, también mantener actualizados el gestor de contenido como WordPress, los plugins y las dependencias ayuda a prevenir bloqueos de seguridad automáticos que a veces generan un 403 sin darnos cuenta.

Finalmente, si aplicas restricciones por IP o geolocalización, documenta esos cambios para no olvidar por qué ciertos accesos fueron bloqueados.

Qué hacer si el error 403 continúa

Si llegaste a este punto y no pudiste detectar o solucionar el problema, te recomendamos recurrir a los logs de errores de tu sitio web. El log de errores es un archivo de texto plano donde se guardan todas las peticiones erróneas y te permitirá obtener un detalle más amplio de por qué apareció ese error 403.

En caso de que estés usando WordPress, puedes activar si quieres el modo depuración o debug agregando estas líneas en el archivo “wp-config.php” dentro del directorio raíz:

define( 'WP_DEBUG', true );
define( 'WP_DEBUG_LOG', true );
define( 'WP_DEBUG_DISPLAY', false );

Casos de éxito con clientes de WNPower

Si pusiste en práctica todas estas recomendaciones y no has podido resolver tu error 403 Forbidden, es tiempo de contactar a tu proveedor de alojamiento web para que pueda darte una mano. Y si estás buscando un hosting que te acompañe en cada una de las etapas de tu proyecto, en WNPower creamos el ecosistema perfecto para que no tengas que preocuparte por nada. ¿Por qué no echas un vistazo a nuestros planes de Hosting? 👍

Preguntas frecuentes ❓

Te compartimos en esta sección algunas de las preguntas frecuentes que nos hicieron llegar nuestros usuarios.

♦️ ¿Qué significa el error 403 Forbidden?

El mensaje de error 403 Forbidden significa que el servidor web no nos permite acceder a una determinada página de un sitio web o mismo al dominio.

♦️ ¿Qué causa el error 403 Forbidden?

El error 403 Forbidden puede ser causado por un error de permisos en el sitio, un plugin de seguridad de WordPress que no funciona correctamente, medidas de seguridad del servidor web o un archivo htaccess mal configurado o corrompido.

♦️ ¿el error 403 Forbidden afecta negativamente a mi sitio?

El error 403 prohibido no es necesariamente es un signo de que algo malo le esté ocurriendo a tu sitio web. Pero tienes que prestarle atención inmediata si este error se aparece al ingresar al dominio o alguna de las URL utilizadas con frecuencia para que no se traduzca en una mala experiencia de navegación y posicionamiento en los buscadores.

♦️ ¿Qué diferencia hay con un error 404?

El error 403 Forbidden significa que es un recurso prohibido para el acceso, mientras que un error 404 es un recurso o archivo no encontrado.

♦️¿Por qué aparece “Acceso bloqueado” o “privilegios insuficientes”?

Estos mensajes suelen aparecer cuando el servidor reconoce al usuario, pero no le permite acceder a un recurso o página. En la mayoría de los casos, indican un error 403, causado por falta de permisos, una configuración incorrecta en el servidor o restricciones de acceso establecidas por el administrador del sitio.

♦️¿Qué permisos debo configurar con chmod para evitar el error 403?

Para evitar el error 403, asegurate de que las carpetas tengan permisos 755 y los archivos permisos 644. Esto permite que el servidor web pueda leer y ejecutar el contenido sin comprometer la seguridad.

♦️¿Se puede solucionar un error 403 sin tener acceso a cPanel?

Sí, claro que es posible. Aunque no tengas acceso a cPanel, podés revisar y corregir permisos de archivos usando FTP o un cliente SFTP, modificar temporalmente el archivo .htaccess y desactivar plugins o temas conflictivos directamente desde WordPress. Si el error persiste, conviene contactar al proveedor de hosting para que revise restricciones a nivel de servidor.