Error 403 ¿Qué es y cómo solucionarlo?

Una herramienta muy útil de la que disponemos para saber cómo se han resuelto las peticiones que se realizan al navegar por una página web, son los códigos de estado HTTP.

Estos códigos de estado nos indican el resultado de la solicitud que hemos realizado al servidor y sirven para indicar si esta solicitud se ha resuelto correctamente, informar de redirecciones, etc.

Lo ideal sería que todas las solicitudes se resolvieran con un 200, es decir: OK. No obstante, existen otros códigos indicativos de errores, como puede ser el 403 Forbidden, del que a continuación te indicamos qué indica y las posibles causas y soluciones.

¿Qué es el error 403?

El error 403, al igual que el error 404 o el error 500, es un código de estado que nos indica cómo el servidor ha respondido ante la petición que nosotros hemos realizado al intentar visitar una web, acceder a algún contenido específico, o realizar una solicitud al servidor.

Este código de error, que puede aparecer de varias formas e incluso se puede personalizar, hace referencia básicamente a que la solicitud ha llegado al servidor de destino y este la ha procesado, pero no nos va a dejar visualizar el contenido que buscamos o acceder al apartado que solicitamos, ya que detecta que no tenemos los permisos correspondientes para ello, o que existen otras configuraciones incorrectas.

Causas más comunes del error 403

Las causas de este error pueden ser varias y, por tanto, en ocasiones necesitaremos revisar varios frentes para poder solventarlo y acceder al contenido.

Algunas de estas causas son a nivel servidor, no obstante, también pueden afectar otras configuraciones dependientes de la propia instalación o incluso, del navegador.

Acceso a una URL no autorizada

En ocasiones la URL a la que intentamos acceder puede haberse modificado (de forma total o parcial) y ser diferente de la dirección a la que intentamos acceder o tenemos almacenada en caché, por lo que no estaremos autorizados a acceder a esa URL antigua.

Credenciales incorrectas en el navegador

Podemos obtener también este error si tenemos recordadas nuestras credenciales en el navegador y por algún motivo se modifican.

Problema en el archivo .htaccess

En el fichero .htaccess se pueden realizar múltiples configuraciones, entre las que estarían redirecciones, bloquear accesos, etc. que pueden impedir que el contenido de la web pueda cargar con normalidad y en su lugar, responda con error 403 Forbidden.

Reglas de ModSecurity

El uso de ModSecurity es altamente aconsejable si el alojamiento dispone de esta opción, ya que puede ayudarnos a proteger nuestro contenido de peticiones ilegítimas o inyecciones de malware, por ejemplo.

No obstante, en algunos casos pueden producirse falsos positivos o que alguna de las reglas de seguridad que incluye este firewall afecte a la solicitud o visita que intentamos realizar.

Un ejemplo de esto pudimos verlo hace unos meses con WooCommerce: https://developer.woocommerce.com/2024/01/16/woocommerce-8-5-1-issues-with-web-application-firewalls-modsecurity/

Si nuestro servidor no dispone de ModSecurity, sino que utiliza algún otro módulo de seguridad o firewall, también debemos revisarlos.

Permisos de archivos y directorios incorrectos

El contenido que se aloja en un servidor debe tener unos permisos para los ficheros y directorios específicos, que son los que permitirán que ese contenido sea accesible en mayor o menor medida.

Estos permisos dependen del sistema operativo, panel de control, etc.

Si se asignan de forma incorrecta, el servidor puede responder con error 403 ya que interpretará que el usuario no tiene permisos para ver ese contenido.

Dirección IP bloqueada

Nuestra IP puede bloquearse por múltiples motivos, en ocasiones puede ser por la geolocalización de la misma, que hayamos intentado acceder varias veces de forma incorrecta, o incluso un falso positivo.

También debemos tener en cuenta que la mayoría de alojamientos web cuentan con sistemas de seguridad que en ocasiones podrían bloquear nuestra IP, o configuraciones a nivel aplicación, como pueden ser plugins de seguridad.

Es importante tener en cuenta que no todos los bloqueos de IP producen el mismo comportamiento o bloquean el acceso del mismo modo, por lo que existe la posibilidad de que una IP esté bloqueada, pero no responda con 403.

Falta de archivo index

El index puede no estar disponible si se ha renombrado, si hemos realizado una migración y se ha transferido el contenido sin este fichero, o si nuestra web ha experimentado problemas de seguridad y este se ha eliminado, por ejemplo.

¿Cómo solucionar el error 403?

Existen varias comprobaciones que podemos realizar si estamos obteniendo este error, o si como administradores de una página web, nos reportan accesos que obtienen un 403.

Si disponemos de acceso y conocimientos, lo aconsejable en primera instancia es que revisemos el log de nuestra instalación, ya que en ocasiones puede facilitarnos más información del error que se registra.

En cualquier caso, a continuación vamos a ver cómo podemos solventar este error.

Revisar y corregir el archivo .htaccess

Para poder editar nuestro archivo .htaccess generalmente necesitaremos un acceso FTP o al panel de control del servidor.

• Editar archivo .htaccess en cPanel: podremos editar este fichero desde la sección ‘Administrador de archivos’. Si no visualizamos este fichero en un primer momento, debemos asegurarnos de tener marcada la opción ‘Mostrar archivos ocultos (dotfiles)’, a la que podremos acceder desde el botón de Configuración situado en la parte superior derecha.

• Editar archivo .htaccess en RaiolaCP: para editar el fichero .htaccess con este panel de control, debemos acceder al apartado Herramientas > Administrador de archivos.

• Editar archivo .htaccess con un programa FTP: en caso de que nos conectemos por FTP con un programa como puede ser Filezilla, tendremos que forzar que se visualicen este tipo de ficheros, desde el menú ‘Servidor’ > ‘Forzar mostrar archivos ocultos’.

Existen ciertas configuraciones que podemos buscar para saber si este fichero nos está ocasionando problemas. Por ejemplo, reglas con el siguiente comienzo (o similar):

Order deny,allow

En la siguiente imagen podemos ver el ejemplo de una regla que bloquearía el acceso a todo el mundo, respondiendo con un 403, excepto a las conexiones desde la IP ‘37.121.76.89’.



También reglas que finalicen con el parámetro [F], ya que esto le indicaría al servidor que devuelva un ‘403 Forbidden’, generalmente basándose en reglas que se definen en las líneas anteriores o en la propia línea.

O reglas que comiencen por: RedirectMatch 403.

Estas reglas no siempre tienen la misma estructura, ya que con el ejemplo de ‘Order deny,allow’ podemos trabajar según la IP, pero también según el dominio de origen, etc., y eso puede modificarlas levemente.

Revisa los permisos de archivos y directorios

En ocasiones, necesitaremos revisar y/o modificar los permisos de nuestros archivos y directorios, ya que es posible que si hemos realizado algún proceso como una migración, o hemos trabajado como root en la web por ejemplo, se hayan quedado los permisos mal ajustados.

En este otro artículo puedes ver cómo revisar y modificar los permisos chmod: https://raiolanetworks.com/blog/permisos-chmod-archivos-carpetas-wordpress/

Verifica si tu IP está bloqueada

Para comprobar si el error 403 está ocasionado por un bloqueo de IP, el primer paso es saber desde qué IP e intenta acceder, esta podemos verla aquí: https://raiolanetworks.com/cual-es-mi-ip/

Una vez que sepamos la IP, podemos revisar si está bloqueada en el .htaccess por ejemplo, como hemos visto antes, o desde cPanel podemos verlo en la sección Seguridad > Bloqueador de IPs.

Sube o corrige el archivo index

Si no tenemos disponible el fichero index en nuestra web (generalmente el nombre es index.php o index.html, aunque en ocasiones puede variar) podemos subirlo de nuevo o restaurarlo desde una copia de seguridad si disponemos de esta.

Elimina la caché del navegador y actualiza la página

Si nuestro navegador tiene cacheada una versión anterior o con una URL incorrecta, es posible que necesitemos borrar la caché de navegador y volver a acceder a la web.

En este otro post podemos ver cómo eliminar caché en cada uno de los navegadores: https://raiolanetworks.com/blog/borrar-cache-chrome-firefox-opera-safari-explorer/

Una vez eliminada la caché de navegador, es aconsejable que revisemos también que la URL a la que intentamos acceder está escrita correctamente y con la estructura correspondiente.

Si es posible acceder a esa URL o apartado navegando por la web, podemos asegurarnos también de este modo.

¿Cómo solucionar el error 403 en WordPress?

Si utilizamos WordPress para gestionar nuestra página web, y hemos detectado este error en la misma o nos lo han reportado, existen algunos puntos que podemos revisar a nivel de instalación.

Revisa los plugins instalados en WordPress

Debemos prestar especial atención a los plugins de seguridad, como WordFence Security, All in One WP Security & Firewall, WP Cerber o Sucuri, por ejemplo.

Una opción es realizar una copia de seguridad y deshabilitarlos temporalmente para verificar el funcionamiento de la web con ellos inactivos.

Regenera o edita el archivo .htaccess desde WordPress

Podemos regenerar las reglas por defecto del fichero .htaccess desde el administrador de WordPress > Ajustes > Enlaces permanentes, pulsando ‘Guardar cambios’ de nuevo (con la estructura correspondiente a nuestra web seleccionada):

¿Qué hacer si el error 403 persiste?

Si hemos realizado las comprobaciones anteriores, y, aun así, continuamos obteniendo un 403 en la web, podemos revisar otras alternativas:

• Pausar temporalmente el CDN: aunque es menos habitual, si utilizamos un CDN como puede ser Cloudflare, es posible que algunas configuraciones puedan ocasionar que la web responda con 403, por ejemplo si se ha incumplido alguna de las reglas de seguridad de las que el propio CDN dispone o por errores en el certificado. Para comprobar si es nuestro caso, podemos pausar temporalmente el CDN y verificar el funcionamiento de la web.


• Revisar configuración DNS: si hemos realizado recientemente un cambio de DNS o modificado nuestra zona DNS, debemos verificar que la configuración sea correcta al 100%. Es posible, especialmente después de algunos procesos, que existan registros DNS apuntando a una IP y otros a otra, por lo que las peticiones que lleguen a la IP incorrecta, donde no tengamos permisos para ver el contenido, reproduzcan un 403.


• Contactar con tu proveedor: si el error persiste después de realizar las comprobaciones de los pasos anteriores, puedes ponerte en contacto con el soporte de tu hosting para que puedan ayudarte.

Como proveedor de hosting, te aconsejamos que, a la hora de contactar con el soporte, facilites la mayor información posible: URL en la que has experimentado el problema, IP desde la que estás accediendo y fecha y hora del error.

Puedes enviar también una captura o un paso a paso para reproducirlo.

Otros códigos de estado similares al 403

• 401 Authorization Required: se trata de un error que se produce cuando el contenido al que intentamos acceder requiere un usuario/contraseña.


• 406 Not Acceptable: se produce cuando la petición que realizamos incluye la solicitud (mediante cabeceras) de alguna información que el servidor proporciona en un formato incorrecto o no cumple alguna de las normas establecidas por el navegador.