Dopo avervi mostrato come gestire la Favicon con Wordpress, oggi tocchiamo altri tipi di argomenti. Realizzare siti internet con Wordpress può essere fonte di stress. L'errore 403 Forbidden è infatti uno degli errori più comuni che possono verificarsi in un sito web Wordpress. Quando appare, gli utenti non possono accedere a determinate pagine del sito o a tutto il sito. Questa situazione può essere frustrante sia per i visitatori che per i proprietari dei siti web. L'errore indica che il server ha rifiutato l'accesso alla pagina richiesta, nonostante il client (come un browser web) abbia autenticato correttamente l'utente.

Menu di navigazione dell'articolo

L'obiettivo di questo articolo è fornire una guida dettagliata per risolvere l'errore 403 su WordPress. Esamineremo le cause comuni e forniremo istruzioni passo dopo passo per diagnosticare e correggere l'errore.

Cosa provoca l'errore 403?

L'errore 403 Forbidden in WordPress può essere causato da diverse ragioni, ognuna delle quali richiede un approccio specifico per la risoluzione. Le cause più comuni includono:

  • Permessi errati dei file: I permessi di file e cartelle determinano chi può accedere e modificare determinati file all'interno del portale WordPress. Se i permessi sono configurati in modo errato, il server potrebbe rifiutare l'accesso, causando un errore 403.
  • Plugin difettosi: Alcuni plugin, soprattutto quelli di sicurezza, possono essere configurati in modo troppo restrittivo o presentare bug che causano l'errore.
  • File .htaccess di Wordpress danneggiato: Questo file è essenziale per la configurazione del server web Apache. Se è corrotto o mal configurato, può causare errori 403.
  • Regole firewall: Impostazioni firewall troppo rigide possono bloccare gli accessi legittimi al sito, causando così l'errore.
  • Blocco IP: Alcuni plugin di sicurezza o firewall a livello di server possono bloccare interi intervalli di IP, impedendo così l'accesso a utenti legittimi.

Permessi errati dei file

Ogni file e cartella su un server ha un set di permessi che definiscono chi può leggere, scrivere o eseguire quel file o cartella. In un sito WordPress, questi permessi devono essere configurati correttamente per garantire sia la sicurezza che il funzionamento del sito.

Permessi raccomandati per i file e le cartelle WordPress:

  • Cartelle (Directory): I permessi dovrebbero essere impostati a 755.
  • File: I permessi dovrebbero essere impostati a 644.

Nota: Alcune configurazioni particolari potrebbero richiedere permessi leggermente diversi. Tuttavia, per la maggior parte dei siti WordPress, questi permessi funzionano bene.

Guida per verificare e correggere i permessi utilizzando un client FTP o cPanel

Metodo 1: Client FTP

  1. Accedi al server tramite un client FTP: Usa software come filezilla o Cyberduck per accedere al tuo server.
  2. Naviga alla directory di WordPress: Di solito si trova nella cartella public_html o www.
  3. Verifica i permessi:
  • Clicca con il tasto destro su una cartella o un file e seleziona "Permessi file" o "Attribuzioni file".
  • Assicurati che le cartelle abbiano il permesso 755 e i file il permesso 644.
  • Cambia i permessi, se necessario:
    • Per le cartelle, imposta il permesso a 755 e seleziona "Applica solo alle cartelle".
    • Per i file, imposta il permesso a 644 e seleziona "Applica solo ai file".

    Metodo 2: cPanel

    1. Accedi al tuo account cPanel: Usa le credenziali fornite dal tuo hosting provider.
    2. Vai al File Manager: Trova il File Manager nella sezione "Files".
    3. Naviga alla directory di WordPress: Di solito è nella cartella public_html o www.
    4. Verifica i permessi:
    • Clicca con il tasto destro su una cartella o un file e seleziona "Modifica permessi".
    • Assicurati che le cartelle abbiano il permesso 755 e i file il permesso 644.
  • Cambia i permessi, se necessario:
    • Imposta i permessi corretti e seleziona "Salva".

    Vogliamo ricordare che se ti servisse assistenza per il tuo sito in Wordpress puoi scriverci a Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.: saremo lieti di offrirti una consulenza.

    Plugin difettosi

    I plugin di sicurezza sono progettati per proteggere il tuo sito WordPress, ma alcune configurazioni possono essere troppo restrittive, portando all'errore 403. Ecco una lista di plugin noti per causare questo problema:

    1. Wordfence Security
    • Spesso blocca gli indirizzi IP sospetti in modo eccessivamente restrittivo.
  • iThemes Security (precedentemente Better WP Security)
    • Configurazioni errate delle impostazioni di blocco possono causare problemi di accesso.
  • All In One WP Security & Firewall
    • Alcune regole firewall e impostazioni IP possono portare a errori 403.
  • Sucuri Security
    • La modalità "Hardening" può impedire l'accesso ad alcuni utenti legittimi.
  • WP Cerber Security
    • Blocchi automatici di indirizzi IP possono portare a falsi positivi.

    Procedura per disabilitare temporaneamente i plugin via FTP per isolare il problema

    Se sospetti che un plugin sia la causa dell'errore 403, disabilitarlo temporaneamente tramite FTP può aiutarti a identificarlo.

    Guida passo dopo passo:

    1. Accedi al server tramite un client FTP: Utilizza un software come filezilla o Cyberduck per accedere al tuo server.
    2. Naviga alla directory dei plugin:
    • Trova la cartella principale di WordPress, solitamente public_html o www.
    • Vai nella cartella wp-content/plugins.
  • Rinomina la cartella del plugin problematico:
    • Trova il plugin sospetto nella cartella plugins.
    • Rinomina la cartella del plugin aggiungendo "_disabled" alla fine, ad esempio wordfence_disabled.
    • Questo disabilita automaticamente il plugin all'interno di WordPress.
  • Verifica se l'errore persiste:
    • Prova ad accedere al tuo sito web.
    • Se l'errore 403 è scomparso, significa che il plugin rinominato era la causa del problema.
  • Ripeti il processo per altri plugin:
    • Se il problema persiste, continua a rinominare altri plugin uno per uno fino a identificare quello responsabile.
    • In alternativa, puoi rinominare direttamente l'intera cartella plugins a plugins_disabled per disabilitare tutti i plugin contemporaneamente.
  • Risolvi il problema del plugin difettoso:
    • Se identifichi un plugin problematico, verifica se ci sono aggiornamenti disponibili.
    • Contatta il supporto del plugin o cerca documentazione sul loro sito web per una soluzione specifica.
    • Considera di disabilitare o rimuovere definitivamente il plugin problematico e di sostituirlo con uno più affidabile.

    File .htaccess danneggiato

    Il file .htaccess è un file di configurazione del server utilizzato principalmente da server web Apache. In un'installazione Wordpress, questo file ha il compito di controllare importanti aspetti del funzionamento del sito web, tra cui:

    • Permalink: Gestisce la struttura degli URL personalizzati.
    • redirect: Imposta reindirizzamenti permanenti o temporanei.
    • Sicurezza: Limita l'accesso a determinati file o directory.
    • Compressione: Abilita la compressione gzip per migliorare le prestazioni del sito.
    • Cache: Gestisce le regole di caching per migliorare la velocità di caricamento delle pagine.

    Un file .htaccess danneggiato o mal configurato può portare a diversi errori, incluso l'errore 403 Forbidden.

    Istruzioni su come generare un nuovo file .htaccess da WordPress

    Metodo 1: Ripristino automatico tramite impostazioni dei Permalink

    1. Accedi all'area amministrativa di WordPress:
    • Vai su Impostazioni > Permalink.
  • Cambia temporaneamente la struttura dei permalink:
    • Seleziona una struttura diversa da quella corrente (ad esempio, passa da "Nome articolo" a "Data e Nome").
    • Clicca su "Salva le modifiche".
  • Ripristina la struttura originale:
    • Riporta la struttura alla configurazione originale.
    • Clicca di nuovo su "Salva le modifiche".
  • Controlla il nuovo file .htaccess:
    • Un nuovo file .htaccess dovrebbe essere generato automaticamente nella directory principale di WordPress.
    • Assicurati che il file contenga le seguenti regole standard:

    # Inizio WordPress

    <IfModule mod_rewrite.c>

    RewriteEngine On

    RewriteBase /

    RewriteRule ^index\.php$ - [L]

    RewriteCond %{REQUEST_FILENAME} !-f

    RewriteCond %{REQUEST_FILENAME} !-d

    RewriteRule . /index.PHP [L]

    </IfModule>

    # Fine WordPress

    Metodo 2: Creazione manuale tramite FTP

    1. Accedi al server tramite un client FTP:
    • Usa software come FileZilla o Cyberduck.
  • Naviga nella directory principale di WordPress:
    • Solitamente public_html o www.
  • Crea un nuovo file .htaccess:
    • Se il file .htaccess non esiste, creane uno nuovo con un editor di testo semplice come Notepad.
  • Aggiungi le regole standard al file .htaccess:
    • Incolla le seguenti regole nel file appena creato:

    # Inizio WordPress

    <IfModule mod_rewrite.c>

    RewriteEngine On

    RewriteBase /

    RewriteRule ^index\.php$ - [L]

    RewriteCond %{REQUEST_FILENAME} !-f

    RewriteCond %{REQUEST_FILENAME} !-d

    RewriteRule . /index.php [L]

    </IfModule>

    # Fine WordPress

    1. Carica il file .htaccess nel server:
    • Salva le modifiche e carica il file .htaccess nella directory principale di WordPress tramite FTP.
  • Verifica i permessi del file .htaccess:
    • Assicurati che il file abbia i permessi corretti impostati a 644.

    Regole firewall: differenza tra firewall lato server e plugin di sicurezza

    Un firewall è un sistema di sicurezza progettato per proteggere un server, un sito web o un'applicazione da accessi non autorizzati. Nel contesto di WordPress, è essenziale comprendere le differenze tra un firewall lato server e un firewall basato su plugin di sicurezza:

    1. Firewall lato server:
    • Definizione: Un firewall installato direttamente sul server web o gestito dall'hosting provider.
    • Caratteristiche:
      • Controlla tutto il traffico che passa attraverso il server, offrendo un livello di protezione globale.
      • Può essere configurato tramite regole personalizzate o predefinite.
      • Può gestire le blacklist IP, i limiti di traffico e altre impostazioni di sicurezza.
    • Esempi:
      • Firewall dell'Hosting Provider: Alcuni provider di hosting implementano firewall propri per proteggere tutti i siti ospitati.
      • Firewall ConfigServer Security & Firewall (CSF): Un firewall popolare utilizzato nei server dedicati.
  • Firewall basato su plugin di sicurezza:
    • Definizione: Un firewall implementato tramite un plugin specifico installato direttamente su WordPress.
    • Caratteristiche:
      • Offre protezione a livello di applicazione (WordPress), filtrando il traffico prima che raggiunga il sito.
      • Spesso include funzionalità aggiuntive come scansione malware, blacklist IP e protezione da brute force.
    • Esempi:
      • Wordfence Security: Offre un firewall applicativo integrato con WordPress.
      • Sucuri Security: Include una suite completa di sicurezza con firewall.
      • All In One WP Security & Firewall: Fornisce un firewall applicativo per WordPress.

    Come controllare le impostazioni firewall sul proprio server o hosting

    Per evitare falsi positivi e identificare le cause dell'errore 403, è importante sapere come controllare e regolare le impostazioni del firewall, sia a livello di server che a livello di plugin.

    Controllare il firewall lato server

    1. Accesso tramite cPanel:
    • Accedi a cPanel o al pannello di controllo fornito dall'hosting.
    • Cerca l'opzione "Firewall" o "Protezione".
    • Esamina le impostazioni correnti e cerca eventuali blocchi IP specifici.
    • Verifica se ci sono regole di sicurezza troppo restrittive.
  • Accesso tramite SSH (per server dedicati o VPS):
    • Connettiti al server tramite un client SSH come PuTTY.
    • Usa i seguenti comandi per verificare le regole del firewall:

    sudo iptables -L

    • Verifica le regole attive.
    • Per i server con CSF, controlla le impostazioni nel file di configurazione /etc/csf/csf.conf.
    1. Contattare il supporto tecnico:
    • Se non sei in grado di identificare il problema da solo, contatta il supporto tecnico del tuo provider di hosting per verificare le regole firewall lato server.

    Controllare il firewall basato su plugin di sicurezza

    1. Wordfence Security:
    • Accedi a Wordfence > Firewall.
    • Esamina i blocchi IP recenti sotto "Blocco Attività".
    • Disabilita temporaneamente il firewall o rivedi le regole di sicurezza.
  • Sucuri Security:
    • Vai su Sucuri Security > Firewall.
    • Controlla i log del firewall per eventuali IP bloccati.
    • Disabilita il firewall temporaneamente o regola le impostazioni di sicurezza.
  • All In One WP Security & Firewall:
    • Accedi a WP Security > Firewall.
    • Rivedi le regole di sicurezza e i log degli IP bloccati.
    • Disabilita temporaneamente le regole problematiche.

    Blocco IP

    Se sospetti che il tuo indirizzo IP sia stato bloccato, puoi verificarlo seguendo questi passaggi:

    1. Controlla la tua connessione da un altro dispositivo o rete:
    • Prova ad accedere al sito web da un altro dispositivo sulla stessa rete.
    • Se ricevi ancora l'errore 403, potrebbe indicare un blocco IP.
  • Usa una connessione VPN o una rete diversa:
    • Cambia la tua posizione IP utilizzando una connessione VPN.
    • Prova ad accedere al sito da una rete pubblica o mobile.
    • Se riesci ad accedere, è probabile che il tuo IP originale sia bloccato.
  • Controlla il messaggio di errore dettagliato:
    • Alcuni plugin di sicurezza come Wordfence includono messaggi di errore che spiegano se l'IP è stato bloccato.
  • Consulta i log del server:
    • Accedi a cPanel o al tuo pannello di controllo dell'hosting.
    • Vai alla sezione "Logs" e controlla i log degli errori.
    • Cerca voci che menzionano il tuo IP con codici di errore 403.
  • Verifica i log dei plugin di sicurezza:
    • I plugin di sicurezza spesso tengono traccia dei blocchi IP.
    • Controlla i log di Wordfence, Sucuri o altri plugin di sicurezza installati per trovare eventuali IP bloccati.

    Guida per sbloccare l'IP nel proprio server o tramite plugin

    Sbloccare l'IP tramite firewall lato server

    cPanel:

    • Accedi a cPanel e cerca "IP Blocker" o "Firewall".
    • Inserisci il tuo indirizzo IP nella lista di whitelist (IP permessi).
    • Se l'IP è bloccato, rimuovilo dalla lista di blocco.

    SSH (server dedicati o VPS):

    • Accedi al server tramite SSH usando un client come PuTTY.
    • Sblocca l'IP tramite iptables:

    sudo iptables -D INPUT -s [tuo_indirizzo_IP] -j DROP

    • Se usi CSF, aggiungi l'IP alla whitelist:

    sudo csf -a [tuo_indirizzo_IP]

    Sbloccare l'IP tramite plugin di sicurezza

    Wordfence Security:

    • Vai su Wordfence > Firewall.
    • Clicca su "Blocco Attività" per vedere gli IP bloccati.
    • Seleziona l'IP bloccato e clicca su "Sblocca IP".

    Sucuri Security:

    • Vai su Sucuri Security > Firewall.
    • Clicca su "Whitelist" e aggiungi il tuo IP alla lista.

    All In One WP Security & Firewall:

    • Vai su WP Security > Firewall.
    • Seleziona "Blocco indirizzi IP".
    • Rimuovi l'IP dalla lista di blocco o aggiungilo alla whitelist.

    Sbloccare l'IP tramite file .htaccess

    A volte, il file .htaccess può contenere regole che bloccano specifici indirizzi IP.

    • Accedi al tuo server tramite FTP o cPanel.
    • Trova il file .htaccess nella directory principale di WordPress.
    • Cerca righe simili a queste:

    <RequireAll>

        Require all granted

        Require not ip [tuo_indirizzo_IP]

    </RequireAll>

    • Rimuovi o commenta le righe con Require not ip [tuo_indirizzo_IP].
    • Salva le modifiche e carica di nuovo il file .htaccess

    Per quanto riguarda Wordpress abbiamo da poco scritto e pubblicato un approfondimento su Mailpoet e la possibilità di gestione di newsletter integrate al CMS.

    Bibliografia

    • Brad Williams, David Damstra, Hal Stern - Professional WordPress: design and Development, Wiley.
    • Rachel McCollin - WordPress: Pushing the Limits, Wiley.
    • Smashing Magazine Team - WordPress Essentials, Smashing Media AG.
    • Joe Casabona - WordPress Security Made Simple, Automattic.
    • Andrea Zoellner, Topher DeRosia - The Ultimate Guide to WordPress Security, WP Engine.

    FAQ (Domande frequenti)

    Cosa significa l'errore 403 Forbidden in WordPress?

    L'errore 403 Forbidden in WordPress è un codice di stato HTTP che indica che il server ha negato l'accesso a una risorsa richiesta. Questo errore può apparire su tutto il sito o su specifiche pagine. Di solito è causato da permessi dei file errati, plugin difettosi, file .htaccess danneggiato o impostazioni di sicurezza troppo restrittive.

    Posso risolvere l'errore 403 senza accesso all'area amministrativa di WordPress?

    Sì, è possibile risolvere l'errore 403 senza accedere all'area amministrativa di WordPress. Puoi usare un client FTP per disabilitare i plugin problematici, correggere i permessi dei file o rinominare il file .htaccess. Puoi anche accedere a cPanel, se disponibile, per eseguire azioni simili.

    L'errore 403 può essere causato da un aggiornamento di WordPress?

    Sì, in rari casi un aggiornamento di WordPress può causare l'errore 403 se modifica i permessi dei file o interagisce in modo errato con plugin di sicurezza. Se l'errore si verifica subito dopo un aggiornamento, prova a ripristinare una versione precedente dei file del sito o a correggere manualmente i permessi.

    Come posso prevenire l'errore 403 su WordPress in futuro?

    Per prevenire l'errore 403 in futuro, assicurati che i permessi dei file siano corretti, che i plugin siano aggiornati e che il file .htaccess sia integro. Usa anche plugin di sicurezza affidabili e configura le regole del firewall con attenzione. Un backup regolare può aiutare a ripristinare il sito rapidamente in caso di problemi.

    Come faccio a sapere quale plugin sta causando l'errore 403?

    Puoi scoprire quale plugin sta causando l'errore 403 disabilitando temporaneamente tutti i plugin tramite FTP e riattivandoli uno alla volta nell'area amministrativa. In alternativa, puoi verificare i log degli errori del server per trovare indizi sulla causa specifica dell'errore.

    Autore: Enrico Mainero

    Immagine di Enrico Mainero

    Dal 2011 Direttore Responsabile e Amministratore unico di ElaMedia Group SRLS. Mi dedico prevalentemente all'analisi dei siti web e alla loro ottimizzazione SEO, con particolare attenzione allo studio della semantica e al loro posizionamento organico sui motori di ricerca. Sono il principale curatore dei contenuti di questo Blog (assieme alla Redazione di ElaMedia).