403 Forbidden

403 Forbidden You don’t have permission to access – to komunikat oznaczający zabroniony dostęp do zasobów na serwerze. Jeśli pragniesz wyświetlić ścieżkę, aby podpatrzeć jakiś plik lub folder, o którym wiesz, że istnieje, ale autor strony nie życzy sobie, aby ktokolwiek go przeglądał, to właśnie wówczas zobaczysz ostrzeżenie 403.

Pliki i foldery są zabezpieczane przed nieautoryzowanym przeglądaniem, kopiowaniem i zapisem (nadpisywaniem) – to zrozumiałe. W przeciwnym wypadku każdy internauta (znający się na rzeczy) mógłby ingerować w treść strony, np. pobrać stronę, edytować ją i wpisać własne treści, a następnie podmienić na serwerze itd. – tak działają hakerzy. Z zasady tylko administrator konta może dokonywać operacji na plikach i folderach (katalogach).

1. Zmiana atrybutu folderów i plików – chmod

Administrator nadaje uprawnienia folderom i plikom poprzez ustalanie ich we właściwościach. Standardowo, przesyłając je przez FTP, foldery mają atrybuty chmod (ang. change mode – zmiana atrybutu) 755, natomiast pliki 644.

Zobacz więcej
Zmiana atrybutu chmod w folderze

Zmiana atrybutu chmod folderu w Total Commanderze

Zmiana atrybutu chmod w folderze - Plik...

Zmiana atrybutu chmod folderu – Plik…

Zmiana atrybutu chmod w folderze - chmod 755

Zmiana atrybutu chmod folderu – chmod 755

Zmiana atrybutu chmod pliku - chmod 644

Zmiana atrybutu chmod pliku – chmod 644

2. Zabezpieczenia plikiem .htaccess

Niektóre serwery żądają zabezpieczeń dodatkowych w postaci instrukcji zapisywanych w plikach .htaccess. Są to zwykłe pliki tekstowe, można je tworzyć w notatniku i potem zapisać z kropką na początku, aby np. kontrolować lub ograniczać dostęp do zasobów,   można w nich definiować stronę startową, blokować adresy IP użytkowników, których nie życzymy sobie na naszych stronach i wiele innych instrukcji.

Dla przykładu plik .htaccess, który włącza mod_rewrite – komendę przepisywania linków. Pozwala ona stosować na stronie proste linki zgodne z dokumentacją Apache – bazuje na niej większość serwerów, a dzięki tej opcji zamiast linku https://fan.lekturki.pl/?p=6941 możemy zobaczyć w pasku adresu https://fan.lekturki.pl/utorrent-toolbar-w-chrome/

mod_rewrite w pliku htaccess

mod_rewrite w pliku htaccess

Kod do pobrania dla WP

Zobacz więcej
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L] </IfModule>
# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ – [L] RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L] </IfModule>

# END WordPress

W systemach CMS są pluginy regulujące ten problem, ale nie do końca i bywa, że bez pliku .htaccess nie zadziałają, a właśnie pokaże się komunikat błędu 403 lub 404 (nie znaleziono…).

 

3. Zamknięty panel administratora

Dodatkowym zabezpieczeniem przed nieautoryzowanym dostępem do panelu administratora może być informacja zapisana w folderze wp-admin w postaci pliku .htaccess typu:

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName „Example Access Control”
AuthType Basic

order deny,allow
deny from all
allow from 700.111.222.333

Powyżej zapisana instrukcja „wrzucona” w (treści) pliku .htaccess do folderu wp-admin w systemach CMS zabrania logowania się do panelu admina z innego IP niż podany (fikcyjny tutaj) 700.111.222.333 – numer domowego IP administratora. Jeśli zatem ktokolwiek, więc i administrator także:

  1. spróbuje zalogować się do panelu admina w pracy – zobaczy komunikat 403 Forbidden, gdy jego komputer w biurze zaloguje się do sieci pod innym IP niż określony w pliku .htaccess.
  2. spróbuje zalogować się w domu do panelu admina swojej strony, ale przed nim zaloguje się do sieci np. poprzez ruter, inna osoba, której system przyzna zapisany dynamiczny numer IP określony w pliku .htaccess – zobaczy komunikat 403 Forbidden.

4. Jak działać przy błędzie 403?

  • Jeśli jesteś gościem lub użytkownikiem na stronie z wyświetlonym błędem 403 – zmykaj stamtąd, bo teren nie jest gościnny i ktoś sobie nie życzy, abyś zobaczył, czytał, oglądał itd. zasoby…
  • Jeśli jesteś administratorem lub użytkownikiem z nadanymi prawami administratora, wyświetlanie błędu 403 wynika z Twojej przyczyny: rozwiązania szukaj powyżej w opisanych przykładach w punktach 1-3, czyli w ustawieniach chmod lub/i w treści pliku .htaccess.