403 Forbidden – warum Ihre Website den Zugriff verweigert

Statt Ihrer Website erscheint „403 Forbidden – You don't have permission to access this resource.“ Das klingt nach Hacking oder Sperre – ist es aber fast nie. Der 403-Fehler bedeutet: Der Server hat die Anfrage verstanden, verweigert aber den Zugriff. Die Ursache steckt fast immer in den Dateiberechtigungen oder der .htaccess-Konfiguration.

Die häufigsten Ursachen

Falsche Dateiberechtigungen: Wenn Dateien auf dem Server die falschen Zugriffsrechte haben, darf der Webserver sie nicht ausliefern. Standard: Ordner 755, Dateien 644. Nach einem FTP-Upload, einer Migration oder einer Backup-Wiederherstellung stimmen diese Rechte oft nicht.

Fehlerhafte .htaccess: Die .htaccess kann Zugriffe gezielt blockieren – absichtlich (Verzeichnisschutz) oder versehentlich (fehlerhafte Regel). Ein einziger Fehler in dieser Datei kann die gesamte Website sperren.

Kein Index-Datei vorhanden: Wenn ein Verzeichnis keine index.php oder index.html hat und die Verzeichnisauflistung deaktiviert ist, antwortet der Server mit 403.

IP-Sperre durch Sicherheitsplugin: WordPress-Sicherheitsplugins (Wordfence, iThemes Security) sperren IP-Adressen nach fehlgeschlagenen Login-Versuchen. Wenn Ihre eigene IP gesperrt wird, sehen Sie 403.

Hotlink-Schutz: Manche Server blockieren externe Zugriffe auf Bilder und Dateien. Wenn der Schutz zu streng konfiguriert ist, blockiert er auch legitime Zugriffe.

Was wirklich zu tun ist

1. Prüfen: Betrifft es die ganze Website oder nur eine Seite? – Wenn nur eine Seite: fehlende Datei oder Berechtigung für diese Datei. Wenn alles: .htaccess oder globale Berechtigungen.

2. .htaccess prüfen – per FTP umbenennen in .htaccess_backup und Seite neu laden. Geht es dann? .htaccess war schuld.

3. Dateiberechtigungen korrigieren – per FTP: Ordner auf 755, Dateien auf 644 setzen. Bei WordPress: wp-config.php auf 640.

4. Sicherheitsplugin prüfen – wenn Sie sich per FTP verbinden können: im Ordner wp-content/plugins das Sicherheitsplugin umbenennen um es zu deaktivieren.

5. IP-Sperre beim Hoster prüfen – manche Hoster sperren IPs bei verdächtigem Traffic. Im Hosting-Dashboard unter „Sicherheit“ oder „Firewall“ nachschauen.

Wann Sie das selbst schaffen – und wann nicht

.htaccess umbenennen und testen – das schafft jeder mit FTP-Zugang. Wenn das die Lösung ist, müssen Sie nur die fehlerhafte Regel in der .htaccess finden und korrigieren.

Schwieriger wird es bei Dateiberechtigungen (rekursiv setzen ohne andere Einstellungen zu überschreiben), bei IP-Sperren durch Sicherheitsplugins (Plugin deaktivieren ohne Dashboard-Zugang), und bei Server-seitigen Firewalls, an die nur der Hoster rankommt.

Häufig gestellte Fragen

Wurde meine Website gehackt?

Fast sicher nicht. Ein 403-Fehler bedeutet „Zugriff verweigert“ – meistens durch falsche Berechtigungen oder eine .htaccess-Regel. Das hat nichts mit Hacking zu tun.

Warum sehe ich den Fehler, andere aber nicht?

Möglicherweise ist Ihre IP-Adresse gesperrt – durch ein Sicherheitsplugin oder die Firewall Ihres Hosters. Testen Sie über Ihr Handy (mobile Daten) – wenn die Seite dort lädt, ist Ihre IP das Problem.

Kann das per Fernwartung behoben werden?

Ja. Wir prüfen .htaccess, Berechtigungen und Sicherheitseinstellungen per Fernwartung und machen Ihre Website wieder zugänglich.