403 Forbidden : « accès interdit », mais interdit par quoi ?

« 403 Forbidden ». Le serveur vous répond qu’il a bien compris votre demande — et qu’il refuse de la satisfaire. Rien n’est cassé au sens technique : le fichier existe, le serveur tourne. Simplement, une règle quelque part vous dit « non ». Tout l’enjeu est de trouver laquelle.

Contrairement à une erreur 500 où le serveur plante en exécutant votre code, une 403 est une décision volontaire. Un fichier de configuration, un plugin de sécurité, une permission mal réglée ou une IP sur liste noire a explicitement bloqué l’accès. C’est frustrant, mais rassurant : vos contenus sont intacts, il s’agit de lever une barrière, pas de réparer une casse.

Le 403 apparaît dans plusieurs situations bien distinctes — page d’accueil entière, dossier wp-admin seul, un fichier précis, ou après l’installation d’un plugin. Le contexte de l’erreur est votre meilleur indice.

Pourquoi ça arrive : les causes fréquentes


1. Videz le cache et testez depuis une autre connexion

Avant tout, écartez le cas le plus simple : un blocage lié à votre connexion, pas au site.

Videz le cache navigateur (Ctrl+Shift+R), puis testez le site depuis votre téléphone en 4G (hors Wi-Fi), ou via un VPN. Si le site s’affiche depuis une autre IP mais reste en 403 depuis votre poste, c’est votre adresse IP qui est bloquée — un plugin de sécurité ou le pare-feu de l’hébergeur vous a mis sur liste noire. Passez à l’étape 4. S’il est en 403 partout, le blocage est global : continuez.


2. Régénérez le fichier .htaccess

Le .htaccess gère les règles d’accès d’Apache. Une seule directive Deny from all mal placée, ou un fichier corrompu, suffit à verrouiller tout le site.

Le test : connectez-vous en FTP/SFTP (ou via le gestionnaire de fichiers du panel), et à la racine du site, renommez .htaccess en .htaccess_backup. Rechargez le site.

Si un plugin de sécurité avait ajouté ses règles dans ce fichier, elles sont effacées — vous les reconfigurerez ensuite.


3. Corrigez les permissions de fichiers

Des droits trop restrictifs empêchent le serveur de lire vos fichiers : 403. Les valeurs correctes sont standardisées.

Valeurs attendues :

Via SSH :

find /chemin/vers/wordpress -type d -exec chmod 755 {} \;
find /chemin/vers/wordpress -type f -exec chmod 644 {} \;

Via FTP : clic droit sur le dossier ou le fichier → Permissions → saisissez la valeur (par exemple 755). Vérifiez en priorité la racine du site et le dossier wp-admin si c’est l’admin qui renvoie 403. Si vous avez besoin de la procédure de connexion terminal, le guide se connecter en SSH chez Gandi vous accompagne pas à pas.


4. Débloquez votre IP dans le plugin de sécurité

Si l’étape 1 a montré que seule votre IP est bloquée, un plugin de sécurité vous a banni — souvent après plusieurs tentatives de connexion, ou une action jugée suspecte.

Si vous accédez encore à l’admin (depuis une autre IP, ou en 4G) : ouvrez les réglages de Wordfence, iThemes Security ou Solid Security, section « IP bloquées » ou « Blocking », et retirez votre adresse de la liste. Ajoutez-la en liste blanche pour éviter la récidive.

Si l’admin est totalement inaccessible : neutralisez le plugin par FTP en renommant son dossier dans wp-content/plugins/ (par exemple wordfencewordfence_off). Le blocage saute immédiatement. Reconnectez-vous, puis réactivez et reconfigurez le plugin proprement. C’est aussi la manœuvre à connaître si votre site est bloqué en mode maintenance après une opération qui a mal tourné.


5. Vérifiez le pare-feu de l’hébergeur (ModSecurity)

Si rien de ce qui précède ne débloque, le filtrage vient peut-être de l’hébergeur lui-même. Beaucoup activent ModSecurity, un pare-feu applicatif qui bloque les requêtes correspondant à des motifs d’attaque connus — et qui déclenche parfois des faux positifs sur des actions légitimes (un article contenant certains mots-clés, un upload spécifique).

Vous ne pouvez généralement pas modifier ModSecurity vous-même sur un mutualisé. Contactez le support de l’hébergeur avec l’heure précise du 403 et l’URL concernée : il retrouve la règle déclenchée dans ses logs et peut la désactiver ciblément pour votre compte. C’est rapide côté support — encore faut-il leur donner l’horodatage exact.


Tableau récapitulatif : cause → solution

Cause probablePremier testSolution
IP bloquéeTester en 4G / VPNRetirer l’IP du plugin de sécurité
.htaccess corrompuRenommer le fichierRégénérer via Réglages → Permaliens
Permissions incorrectesVérifier en FTPchmod 755 (dossiers), 644 (fichiers)
Plugin de sécuritéDésactiver par FTPReconfigurer + IP en liste blanche
Index manquant403 sur un dossier précisAjouter un index.php ou une page
Pare-feu hébergeurRien d’autre ne marcheContacter le support avec l’horodatage

Le 403 n'apparaît que sur /wp-admin, le reste du site fonctionne — pourquoi ?

C’est presque toujours un blocage lié à la sécurité de l’administration : plugin de sécurité qui restreint l’accès à wp-admin par IP, règle .htaccess spécifique à ce dossier, ou permissions du dossier wp-admin mal réglées. Commencez par tester depuis une autre IP, puis vérifiez les permissions de wp-admin et les réglages de restriction d’accès de votre plugin de sécurité.

J'ai un 403 uniquement sur les images ou un dossier précis — c'est quoi ?

Deux causes classiques : soit les permissions du dossier concerné sont trop restrictives (remettez 755), soit le dossier n’a pas de fichier d’index et le serveur interdit d’en lister le contenu. Si c’est un dossier qui ne doit pas être public (uploads sensibles), le 403 est en réalité une protection correcte — ne la levez pas sans raison.

Est-ce que je risque de perdre des données en corrigeant un 403 ?

Non. Renommer le .htaccess, ajuster des permissions ou désactiver un plugin de sécurité ne touche ni à votre base de données ni à vos contenus. Ces opérations sont réversibles. Faites tout de même une sauvegarde avant d’intervenir — c’est une bonne habitude, pas une urgence.

Le 403 est revenu après quelques jours — comment l'empêcher ?

Un 403 récurrent lié à votre IP vient souvent d’un plugin de sécurité qui vous rebloque à chaque nouvelle « alerte » (échecs de connexion, IP dynamique qui change). La solution durable : mettez votre IP fixe en liste blanche, ou si votre IP change souvent, assouplissez le seuil de blocage. Si le 403 revient sur des URL précises, c’est plutôt une règle de pare-feu hébergeur à faire ajuster.


Quand passer la main à un pro

Un 403 qui résiste aux permissions, au .htaccess et au déblocage d’IP pointe généralement vers une couche que vous ne maîtrisez pas : pare-feu hébergeur, configuration serveur, ou conflit de règles de sécurité mal documenté. Un prestataire lit les logs serveur complets, identifie la règle exacte qui vous bloque et la corrige sans casser votre sécurité au passage. Et si, en cherchant, vous réalisez que vous n’avez pas les accès FTP, SSH ou hébergeur de votre propre site, c’est un problème plus grave que le 403 lui-même : lisez les 7 accès à exiger de votre agence. Reprendre l’accès à une page, c’est faisable — reprendre le contrôle de son site, c’est la vraie priorité.

Ce problème, Peechy s'en occupe

Plutôt que de tout gérer seul, confiez votre site à une agence qui s'occupe de tout — hébergement, sécurité, maintenance et corrections. Encore plus simple en abonnement : on règle les soucis avant même que vous les remarquiez.

Confier mon site à Peechy