403 Forbidden You don’t have permission to access – to komunikat oznaczający zabroniony dostęp do zasobów na serwerze. Jeśli pragniesz wyświetlić ścieżkę, aby podpatrzeć jakiś plik lub folder, o którym wiesz, że istnieje, ale autor strony nie życzy sobie, aby ktokolwiek go przeglądał, to właśnie wówczas zobaczysz ostrzeżenie 403.
Pliki i foldery są zabezpieczane przed nieautoryzowanym przeglądaniem, kopiowaniem i zapisem (nadpisywaniem) – to zrozumiałe. W przeciwnym wypadku każdy internauta (znający się na rzeczy) mógłby ingerować w treść strony, np. pobrać stronę, edytować ją i wpisać własne treści, a następnie podmienić na serwerze itd. – tak działają hakerzy. Z zasady tylko administrator konta może dokonywać operacji na plikach i folderach (katalogach).
1. Zmiana atrybutu folderów i plików – chmod
Administrator nadaje uprawnienia folderom i plikom poprzez ustalanie ich we właściwościach. Standardowo, przesyłając je przez FTP, foldery mają atrybuty chmod (ang. change mode – zmiana atrybutu) 755, natomiast pliki 644.
2. Zabezpieczenia plikiem .htaccess
Niektóre serwery żądają zabezpieczeń dodatkowych w postaci instrukcji zapisywanych w plikach .htaccess. Są to zwykłe pliki tekstowe, można je tworzyć w notatniku i potem zapisać z kropką na początku, aby np. kontrolować lub ograniczać dostęp do zasobów, można w nich definiować stronę startową, blokować adresy IP użytkowników, których nie życzymy sobie na naszych stronach i wiele innych instrukcji.
Dla przykładu plik .htaccess, który włącza mod_rewrite – komendę przepisywania linków. Pozwala ona stosować na stronie proste linki zgodne z dokumentacją Apache – bazuje na niej większość serwerów, a dzięki tej opcji zamiast linku https://fan.lekturki.pl/?p=6941 możemy zobaczyć w pasku adresu https://fan.lekturki.pl/utorrent-toolbar-w-chrome/
Kod do pobrania dla WP
W systemach CMS są pluginy regulujące ten problem, ale nie do końca i bywa, że bez pliku .htaccess nie zadziałają, a właśnie pokaże się komunikat błędu 403 lub 404 (nie znaleziono…).
3. Zamknięty panel administratora
Dodatkowym zabezpieczeniem przed nieautoryzowanym dostępem do panelu administratora może być informacja zapisana w folderze wp-admin w postaci pliku .htaccess typu:
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName „Example Access Control”
AuthType Basic
order deny,allow
deny from all
allow from 700.111.222.333
Powyżej zapisana instrukcja „wrzucona” w (treści) pliku .htaccess do folderu wp-admin w systemach CMS zabrania logowania się do panelu admina z innego IP niż podany (fikcyjny tutaj) 700.111.222.333 – numer domowego IP administratora. Jeśli zatem ktokolwiek, więc i administrator także:
- spróbuje zalogować się do panelu admina w pracy – zobaczy komunikat 403 Forbidden, gdy jego komputer w biurze zaloguje się do sieci pod innym IP niż określony w pliku .htaccess.
- spróbuje zalogować się w domu do panelu admina swojej strony, ale przed nim zaloguje się do sieci np. poprzez ruter, inna osoba, której system przyzna zapisany dynamiczny numer IP określony w pliku .htaccess – zobaczy komunikat 403 Forbidden.
4. Jak działać przy błędzie 403?
- Jeśli jesteś gościem lub użytkownikiem na stronie z wyświetlonym błędem 403 – zmykaj stamtąd, bo teren nie jest gościnny i ktoś sobie nie życzy, abyś zobaczył, czytał, oglądał itd. zasoby…
- Jeśli jesteś administratorem lub użytkownikiem z nadanymi prawami administratora, wyświetlanie błędu 403 wynika z Twojej przyczyny: rozwiązania szukaj powyżej w opisanych przykładach w punktach 1-3, czyli w ustawieniach chmod lub/i w treści pliku .htaccess.