403 Forbidden – warum Ihre Website den Zugriff verweigert
Statt Ihrer Website erscheint „403 Forbidden – You don't have permission to access this resource." Das klingt nach Hacking oder Sperre – ist es aber fast nie. Der 403-Fehler bedeutet: Der Server hat die Anfrage verstanden, verweigert aber den Zugriff. Die Ursache steckt fast immer in den Dateiberechtigungen oder der .htaccess-Konfiguration.
Die häufigsten Ursachen
Falsche Dateiberechtigungen: Wenn Dateien auf dem Server die falschen Zugriffsrechte haben, darf der Webserver sie nicht ausliefern. Standard: Ordner 755, Dateien 644. Nach einem FTP-Upload, einer Migration oder einer Backup-Wiederherstellung stimmen diese Rechte oft nicht.
Fehlerhafte .htaccess: Die .htaccess kann Zugriffe gezielt blockieren – absichtlich (Verzeichnisschutz) oder versehentlich (fehlerhafte Regel). Ein einziger Fehler in dieser Datei kann die gesamte Website sperren.
Kein Index-Datei vorhanden: Wenn ein Verzeichnis keine index.php oder index.html hat und die Verzeichnisauflistung deaktiviert ist, antwortet der Server mit 403.
IP-Sperre durch Sicherheitsplugin: WordPress-Sicherheitsplugins (Wordfence, iThemes Security) sperren IP-Adressen nach fehlgeschlagenen Login-Versuchen. Wenn Ihre eigene IP gesperrt wird, sehen Sie 403.
Hotlink-Schutz: Manche Server blockieren externe Zugriffe auf Bilder und Dateien. Wenn der Schutz zu streng konfiguriert ist, blockiert er auch legitime Zugriffe.
Was wirklich zu tun ist
1. Prüfen: Betrifft es die ganze Website oder nur eine Seite? – Wenn nur eine Seite: fehlende Datei oder Berechtigung für diese Datei. Wenn alles: .htaccess oder globale Berechtigungen.
2. .htaccess prüfen – per FTP umbenennen in .htaccess_backup und Seite neu laden. Geht es dann? .htaccess war schuld.
3. Dateiberechtigungen korrigieren – per FTP: Ordner auf 755, Dateien auf 644 setzen. Bei WordPress: wp-config.php auf 640.
4. Sicherheitsplugin prüfen – wenn Sie sich per FTP verbinden können: im Ordner wp-content/plugins das Sicherheitsplugin umbenennen um es zu deaktivieren.
5. IP-Sperre beim Hoster prüfen – manche Hoster sperren IPs bei verdächtigem Traffic. Im Hosting-Dashboard unter „Sicherheit" oder „Firewall" nachschauen.
Wann Sie das selbst schaffen – und wann nicht
.htaccess umbenennen und testen – das schafft jeder mit FTP-Zugang. Wenn das die Lösung ist, müssen Sie nur die fehlerhafte Regel in der .htaccess finden und korrigieren.
Schwieriger wird es bei Dateiberechtigungen (rekursiv setzen ohne andere Einstellungen zu überschreiben), bei IP-Sperren durch Sicherheitsplugins (Plugin deaktivieren ohne Dashboard-Zugang), und bei Server-seitigen Firewalls, an die nur der Hoster rankommt.
403-Fehler auf Ihrer Website? Wir öffnen die Tür.
Berechtigungen korrigieren, .htaccess reparieren, IP-Sperren aufheben – per Fernwartung, ab 29 €.
Jetzt Website reparieren lassenHäufig gestellte Fragen
Wurde meine Website gehackt?
Fast sicher nicht. Ein 403-Fehler bedeutet „Zugriff verweigert" – meistens durch falsche Berechtigungen oder eine .htaccess-Regel. Das hat nichts mit Hacking zu tun.
Warum sehe ich den Fehler, andere aber nicht?
Möglicherweise ist Ihre IP-Adresse gesperrt – durch ein Sicherheitsplugin oder die Firewall Ihres Hosters. Testen Sie über Ihr Handy (mobile Daten) – wenn die Seite dort lädt, ist Ihre IP das Problem.
Kann das per Fernwartung behoben werden?
Ja. Wir prüfen .htaccess, Berechtigungen und Sicherheitseinstellungen per Fernwartung und machen Ihre Website wieder zugänglich.
Weiterlesen — verwandte Artikel
Bing Places for Business: Firmeneintrag in Bing richtig pflegen
Bing Places for Business ist der Firmeneintrag für Bing-Suche und Bing Maps. So pflegen Sie Google-Import, Fotos, Öffnungszeiten, Verifizierung und lokale Sichtbarkeit sauber.
Webseite & ServerFehler 403 Forbidden – warum "Zugriff verweigert" fast nie an Ihnen liegt
Dateiberechtigungen, .htaccess, Firewall-Regeln – die echten Ursachen hinter dem 403-Fehler.
WebentwicklungWebsite selbst bauen oder bauen lassen? Die ehrliche Entscheidungshilfe
Selbst bauen mit Baukasten oder KI, oder bauen lassen? Die ehrliche Entscheidung hängt nicht am Werkzeug, sondern an Zeit, Risiko und der unsichtbaren Arbeit hinter jeder Website. Mit Checkliste und Vergleich.
Deutsches Recht, deutsche Anschrift.
nach Art. 28 für Geschäftskunden.
oder AnyDesk mit TLS-Schutz.
Kein Vertrag, keine Mindestlaufzeit.
Beschreiben Sie Ihr Anliegen
Schreiben Sie uns kurz, worum es geht. Wir prüfen die Anfrage und melden uns per E-Mail mit dem nächsten Schritt.