403 Forbidden — Acesso negado no WordPress
O que é o erro 403 Forbidden?
O erro 403 Forbidden ocorre quando o servidor web entende perfeitamente a sua requisição, mas se recusa a atendê-la. Diferente do erro 404 (que significa que o recurso não existe), o 403 significa que o recurso existe — mas você não tem permissão para acessá-lo.
No WordPress, esse erro pode aparecer na página inicial, em páginas específicas, no painel administrativo ou apenas em determinados arquivos. A mensagem exata varia conforme o servidor, mas geralmente aparece como “403 Forbidden” ou “Access Denied”.
Causas mais comuns no WordPress
Permissões incorretas de arquivos e pastas
O WordPress requer permissões específicas para funcionar corretamente. Permissões muito restritivas impedem o acesso legítimo, enquanto permissões muito abertas (como 777) podem ser bloqueadas por políticas de segurança do servidor. As permissões corretas são 755 para pastas e 644 para arquivos.
Arquivo .htaccess com regras incorretas
O .htaccess é um arquivo de configuração poderoso que pode restringir o acesso a recursos do site. Plugins de segurança frequentemente adicionam regras ao .htaccess que, em alguns casos, podem ser muito restritivas e bloquear requisições legítimas.
Plugin de segurança bloqueando o acesso
Plugins como Wordfence, iThemes Security ou All In One WP Security possuem recursos que podem bloquear IPs, user agents ou padrões de acesso considerados suspeitos. Se você estiver sendo bloqueado pelo seu próprio plugin de segurança, pode ser necessário desativá-lo temporariamente via FTP.
Verificando e corrigindo permissões
Para verificar e corrigir as permissões via FTP, conecte-se ao servidor e navegue até a pasta raiz do WordPress. Selecione todos os arquivos e pastas, clique com o botão direito e escolha “Permissões de arquivo”. Configure conforme abaixo:
# Permissões corretas para WordPress
# Pastas: 755
# Arquivos: 644
# wp-config.php: 600
# Via linha de comando (SSH):
find /caminho/wordpress -type d -exec chmod 755 {} ;
find /caminho/wordpress -type f -exec chmod 644 {} ;
chmod 600 wp-config.phpCorrigindo o arquivo .htaccess
Para testar se o .htaccess está causando o erro 403, renomeie-o para .htaccess_backup via FTP. Se o site voltar ao normal, o arquivo estava com regras incorretas. O conteúdo padrão e correto do .htaccess para WordPress é:
# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPressVocê pode regenerar automaticamente um .htaccess correto acessando o painel WordPress em Configurações → Links Permanentes e clicando em Salvar Alterações sem modificar nada.
Identificando o plugin causador
Se suspeitar que um plugin de segurança está causando o bloqueio, desative todos os plugins renomeando a pasta wp-content/plugins para wp-content/plugins_backup via FTP. Se o acesso for restaurado, reative os plugins um a um para identificar o culpado.
Quando contatar a hospedagem
Se nenhuma das soluções acima resolver o problema, o erro 403 pode estar sendo causado por regras de segurança configuradas diretamente no servidor — fora do controle do WordPress. Nesse caso, entre em contato com o suporte da hospedagem informando o erro exato, a URL afetada e as soluções que já foram tentadas.
Causa
O erro 403 Forbidden ocorre quando o servidor web entende a requisição mas se recusa a autorizá-la. No WordPress, as causas mais comuns são permissões incorretas em arquivos e pastas (chmod), um arquivo .htaccess corrompido ou com regras incorretas, um plugin de segurança bloqueando o acesso, ou o índice de diretório desativado no servidor. Permissões corretas para WordPress são 644 para arquivos e 755 para pastas.
Como resolver
Acesse seu site via FTP ou Gerenciador de Arquivos e verifique as permissões. As permissões corretas são:
chmod 755 para pastas
chmod 644 para arquivos
chmod 600 para wp-config.phpDesative todos os plugins via FTP renomeando a pasta wp-content/plugins para wp-content/plugins_backup. Se o erro sumir, reative os plugins um a um para identificar o culpado.
Se o problema persistir, entre em contato com a hospedagem para verificar regras no servidor.
// Permissões corretas via linha de comando
find /caminho/wordpress -type d -exec chmod 755 {} ;
find /caminho/wordpress -type f -exec chmod 644 {} ;
chmod 600 wp-config.phpHook init — Registros e inicialização de recursos
O hook init é disparado após o WordPress ter carregado mas antes de enviar qualquer header. Ideal para registrar CPTs, taxonomias e rewrite rules.
Hook save_post — Processar dados ao salvar um post
Disparado toda vez que um post é salvo ou atualizado no WordPress, incluindo revisões e auto-saves.
Too Many Redirects — Loop de redirecionamento no WordPress
O navegador detecta que está sendo redirecionado infinitamente e interrompe a requisição. Geralmente causado por configurações incorretas de URL.
Filtro the_content — Modificar o conteúdo do post
Permite filtrar e modificar o conteúdo HTML de um post antes de ser exibido. Amplamente usado para adicionar banners, chamadas para ação ou formatar conteúdo.
wp_schedule_event() — Tarefas agendadas com WP Cron
Permite agendar tarefas recorrentes no WordPress (como envio de e-mails, limpeza de cache ou sincronização com APIs) usando o sistema de cron nativo.
Hook wp_ajax — Processar requisições AJAX no admin
Permite criar endpoints AJAX para usuários logados (wp_ajax_) e não logados (wp_ajax_nopriv_) sem precisar criar páginas ou rotas extras.