Bilhete aberto 
+373 79 600002 
Chat ao vivo do Telegram 
F.A.Q 
Português
English 
Русский 
Română 
Deutsch 
Français 
Türkçe 
Español 
Українська 
български 
Polski 
Indonesia 
中文 (中国) 
Administração 
Segurança8 Maneiras de Corrigir um Erro 403 Forbidden no Seu Site
Um erro 403 Forbidden é um código de status HTTP retornado por um servidor web quando ele compreende a solicitação do cliente, mas recusa ativamente o seu cumprimento devido a permissões insuficientes. Ao contrário de um 404 (recurso não encontrado), um 403 confirma que o recurso existe — o servidor simplesmente não permite o acesso a ele. Esta distinção é extremamente importante ao diagnosticar a causa raiz.
O erro pode originar-se de uma dúzia de camadas diferentes: permissões do sistema de ficheiros, diretivas .htaccess, blocos de configuração ao nível do servidor, regras de negação de IP, políticas de CDN ou WAF, ou até mesmo um plugin WordPress com mau funcionamento. Este guia percorre todas as correções relevantes por ordem de probabilidade, com comandos exatos, fragmentos de configuração e os casos extremos que a maioria dos tutoriais ignora completamente.
O Que Desencadeia um Erro 403 Forbidden
Antes de aplicar qualquer correção, é útil compreender a árvore de decisão que um servidor web segue. Quando o Apache ou NGINX recebe uma solicitação, avalia:
- Permissões do sistema de ficheiros — o utilizador do processo do servidor tem acesso de leitura ao ficheiro?
- Propriedade — o ficheiro pertence ao utilizador correto (normalmente
www-data,apacheounginx)? - Diretivas de configuração do servidor — os blocos
<Directory>,<Location>ouserver {}negam explicitamente o acesso? - Regras
.htaccess— existem diretivasDeny,RequireouOptionsa substituir os padrões? - Regras da camada de aplicação — um plugin CMS, WAF ou módulo de segurança interceta a solicitação?
- Bloqueios ao nível de IP — o endereço IP solicitante está numa lista de negação?
Identificar qual camada é responsável reduz o tempo de resolução de problemas para metade.
Correção 1: Corrigir Permissões de Ficheiros e Diretórios
Permissões UNIX incorretas são a causa mais comum de erros 403 em ambientes de alojamento partilhado e VPS. O processo do servidor web deve ter pelo menos permissão de leitura (r) nos ficheiros e permissão de leitura + execução (rx) em cada diretório no caminho para o recurso solicitado.
Valores de permissão padrão:
| Tipo de Recurso | Octal | Simbólico | Significado |
|---|---|---|---|
| Ficheiros regulares | 644 | -rw-r--r-- | Proprietário: leitura/escrita; Grupo/Outros: leitura |
| Ficheiros PHP/script | 644 | -rw-r--r-- | Nunca 755 a menos que explicitamente necessário |
| Diretórios | 755 | drwxr-xr-x | Proprietário: total; Grupo/Outros: leitura+execução |
| Ficheiros de configuração sensíveis | 600 | -rw------- | Apenas proprietário |
WordPress wp-config.php | 640 | -rw-r----- | Proprietário + leitura de grupo; sem acesso público |
Caso extremo crítico: Se algum diretório pai no caminho não tiver permissão de execução (x) para o utilizador do servidor, todos os ficheiros dentro dele retornarão 403 — mesmo que o próprio ficheiro tenha permissões corretas. Audite sempre o caminho completo, não apenas o ficheiro de destino.
Para corrigir permissões recursivamente via SSH:
# Fix directory permissions
find /var/www/html -type d -exec chmod 755 {} ;
# Fix file permissions
find /var/www/html -type f -exec chmod 644 {} ;
# Fix ownership (replace www-data with your server user)
chown -R www-data:www-data /var/www/htmlPara verificar o utilizador efetivo com que o seu servidor web é executado:
ps aux | grep -E 'apache|nginx|httpd' | grep -v grep | awk '{print $1}' | sort -uSe estiver num plano de Alojamento VPS com acesso root, pode executar estes comandos diretamente. Em alojamento partilhado, utilize o Gestor de Ficheiros do seu painel de controlo ou um cliente FTP como o FileZilla, clique com o botão direito no ficheiro ou diretório e selecione “Alterar Permissões”.
Correção 2: Diagnosticar e Reparar o Ficheiro .htaccess
O Apache lê os ficheiros .htaccess em cada nível de diretório desde a raiz web até ao recurso solicitado. Uma única diretiva malformada — ou uma diretiva inserida por um plugin de segurança — pode bloquear o acesso a uma secção inteira do seu site.
Passo 1: Isolar se .htaccess é a causa
Renomeie o ficheiro para o desativar temporariamente:
mv /var/www/html/.htaccess /var/www/html/.htaccess.bakRecarregue a página. Se o 403 desaparecer, o ficheiro .htaccess é o culpado.
Passo 2: Identificar a diretiva problemática
Diretivas .htaccess comuns que causam erros 403:
# Overly broad IP deny rule
Deny from all
# Missing Allow directive paired with Deny
Order deny,allow
Deny from all
# (Allow from all is absent)
# Incorrect Options directive
Options -Indexes -ExecCGI
# This is fine, but the following blocks everything:
Options None
# Require directive blocking all (Apache 2.4+)
Require all deniedPasso 3: Gerar um .htaccess limpo para WordPress
Navegue até Definições > Permalinks no painel do WordPress e clique em Guardar Alterações sem modificar nada. O WordPress irá regenerar um .htaccess válido. O .htaccess padrão do WordPress tem este aspeto:
# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPressPasso 4: Verificar AllowOverride na configuração principal do servidor
Se AllowOverride None estiver definido em httpd.conf ou num bloco de host virtual, o Apache ignora completamente os ficheiros .htaccess — mas algumas diretivas podem ainda aplicar-se a partir da configuração principal e entrar em conflito com o comportamento esperado.
grep -r "AllowOverride" /etc/apache2/Para que .htaccess funcione, precisa no mínimo de:
<Directory /var/www/html>
AllowOverride All
</Directory>Correção 3: Desativar Plugins e Temas WordPress
Os plugins de segurança (Wordfence, iThemes Security, Sucuri) frequentemente adicionam regras de bloqueio baseadas em IP, diretivas mod_security ou entradas .htaccess personalizadas que produzem erros 403 — por vezes bloqueando o próprio proprietário do site.
Desativar todos os plugins em massa via FTP ou SSH:
mv /var/www/html/wp-content/plugins /var/www/html/wp-content/plugins_disabledSe o erro desaparecer, reative os plugins um de cada vez renomeando a pasta de volta, depois movendo diretórios de plugins individuais para fora e para dentro até identificar o culpado.
Erros 403 específicos de temas são menos comuns, mas ocorrem quando o functions.php de um tema se integra no processamento de solicitações ou quando um tema impõe requisitos de login em páginas específicas. Para testar, mude para um tema WordPress padrão (Twenty Twenty-Four) via phpMyAdmin se não conseguir aceder ao painel:
UPDATE wp_options SET option_value = 'twentytwentyfour' WHERE option_name = 'template';
UPDATE wp_options SET option_value = 'twentytwentyfour' WHERE option_name = 'stylesheet';Correção 4: Limpar Cache e Cookies do Navegador
Os navegadores armazenam agressivamente em cache as respostas HTTP, incluindo respostas de erro. Um 403 servido uma vez pode ser armazenado em cache e reproduzido mesmo após a resolução do problema subjacente. Isto é especialmente verdade quando um CDN ou proxy reverso (Cloudflare, Varnish) está à frente do seu servidor.
Correção ao nível do navegador:
Abra as ferramentas de desenvolvimento do seu navegador (F12), navegue até ao separador Rede, clique com o botão direito na solicitação com falha e selecione Limpar Cache do Navegador — ou utilize uma atualização forçada:
- Windows/Linux:
Ctrl + Shift + R - macOS:
Cmd + Shift + R
Correção ao nível de CDN/proxy:
Se utilizar o Cloudflare, limpe o cache para o URL específico a partir do painel do Cloudflare em Caching > Cache Purge > Custom Purge.
Nuance importante: Se o 403 estiver a ser servido pelo próprio Cloudflare (verá “Error 1020” ou uma página de erro com a marca Cloudflare), o bloqueio é aplicado na camada CDN através de uma Regra de Firewall ou bloqueio de reputação de IP — não pelo seu servidor de origem. Corrigir as permissões do servidor não terá qualquer efeito neste cenário. Verifique o registo de Segurança > Eventos do Cloudflare para confirmar.
Correção 5: Rever Regras de Negação de IP e Bloqueios de Firewall
Os erros 403 baseados em IP são comuns quando plugins de segurança, fail2ban ou regras iptables manuais bloqueiam um endereço IP legítimo — incluindo o seu próprio.
No cPanel (IP Blocker):
- Inicie sessão no cPanel.
- Navegue até Segurança > IP Blocker.
- Reveja a lista de IP bloqueados e remova quaisquer entradas que não devam estar lá.
No Apache .htaccess ou httpd.conf:
# Apache 2.2 syntax
Order deny,allow
Deny from 203.0.113.45
# Apache 2.4 syntax
<RequireAll>
Require all granted
Require not ip 203.0.113.45
</RequireAll>Via fail2ban (comum em ambientes VPS):
# List all jails
fail2ban-client status
# Check if your IP is banned in the apache-auth jail
fail2ban-client status apache-auth
# Unban an IP address
fail2ban-client set apache-auth unbanip 203.0.113.45Via iptables:
# List rules with line numbers
iptables -L INPUT -n --line-numbers
# Remove a specific DROP rule (replace 5 with the actual line number)
iptables -D INPUT 5Num Servidor Dedicado onde controla toda a pilha de rede, verifique sempre as regras de firewall tanto ao nível da aplicação como ao nível do kernel antes de concluir que o problema está na configuração do seu servidor web.
Correção 6: Desativar ou Reconfigurar a Proteção Hotlink
A proteção hotlink funciona inspecionando o cabeçalho HTTP Referer. Se uma solicitação chegar com um Referer que não está na lista aprovada, o servidor retorna 403. Este mecanismo pode falhar em vários cenários:
- Acesso direto por URL — algumas configurações bloqueiam solicitações sem cabeçalho
Referer, que é o caso de utilizadores que escrevem o URL diretamente, clicam em links em clientes de email ou utilizam navegadores focados em privacidade que removem cabeçalhos de referência. - Transições de HTTPS para HTTP — os navegadores não enviam um cabeçalho
Refererao navegar de uma página HTTPS para um recurso HTTP, fazendo com que a proteção hotlink bloqueie a solicitação. - Acesso por API ou script — as solicitações programáticas frequentemente omitem completamente o cabeçalho
Referer.
No cPanel (Hotlink Protection):
- Navegue até Segurança > Hotlink Protection.
- Certifique-se de que o seu domínio (variantes
http://ehttps://) está na lista URLs to Allow Access. - Se estiver a testar, clique temporariamente em Desativar e confirme se o 403 é resolvido.
Diretamente em .htaccess:
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^https?://(www.)?yourdomain.com/ [NC]
RewriteRule .(jpg|jpeg|png|gif|webp|svg)$ - [F,L]Para permitir acesso direto (Referer vazio), remova a linha RewriteCond %{HTTP_REFERER} !^$.
Correção 7: Corrigir a Configuração do Servidor Apache ou NGINX
Quando controla o servidor — como aconteceria num VPS com cPanel ou numa instância dedicada de metal nu — as diretivas de host virtual ou bloco de servidor mal configuradas são uma fonte frequente de erros 403.
Configuração Apache
Configuração incorreta comum — Require all granted em falta:
No Apache 2.4, o modelo de autorização mudou significativamente. A antiga diretiva Allow from all está obsoleta. Sem uma declaração Require explícita, o Apache nega o acesso por padrão.
<VirtualHost *:80>
ServerName yourdomain.com
DocumentRoot /var/www/html
<Directory /var/www/html>
Options Indexes FollowSymLinks
AllowOverride All
Require all granted
</Directory>
</VirtualHost>Verificar Options -Indexes: Esta diretiva impede a listagem de diretórios (retornando 403 quando não existe ficheiro de índice). Se um diretório não tiver index.html ou index.php, o Apache retorna 403. Este é um comportamento de segurança intencional — mas se espera uma listagem de diretório, adicione Options +Indexes.
Verificar a configuração e reiniciar:
apachectl configtest
systemctl reload apache2Configuração NGINX
Configuração incorreta comum — caminho root incorreto ou índice em falta:
server {
listen 80;
server_name yourdomain.com;
root /var/www/html;
index index.php index.html index.htm;
location / {
try_files $uri $uri/ /index.php?$args;
}
}Se a diretiva root apontar para um caminho que não existe ou que o utilizador do processo nginx não consegue ler, cada solicitação retorna 403.
Verificar os registos de erros NGINX para a causa exata:
tail -n 50 /var/log/nginx/error.logUm 403 do NGINX quase sempre produz uma entrada de registo como:
2024/01/15 10:23:45 [error] 1234#0: *1 "/var/www/html/index.html" is forbidden (13: Permission denied)O código de erro 13 significa Permissão negada ao nível do SO — volte à Correção 1 e audite as permissões do sistema de ficheiros e a propriedade.
Testar e recarregar NGINX:
nginx -t
systemctl reload nginxApache vs. NGINX: Comparação de Resolução de Problemas 403
| Fator | Apache | NGINX |
|---|---|---|
| Ficheiro de configuração por diretório | .htaccess (se AllowOverride All) | Não suportado; configuração apenas no bloco do servidor |
| Modelo de acesso padrão (v2.4+) | Negar a menos que Require all granted | Negar se o caminho root for ilegível ou estiver em falta |
| Listagem de diretório | Options +Indexes para ativar | autoindex on; para ativar |
| Sintaxe de bloqueio de IP | Require not ip x.x.x.x | deny x.x.x.x; em location {} |
| Comando de teste de configuração | apachectl configtest | nginx -t |
| Comando de recarga | systemctl reload apache2 | systemctl reload nginx |
| Localização do registo | /var/log/apache2/error.log | /var/log/nginx/error.log |
Equivalente .htaccess | Suporte nativo | Requer conversão para diretivas nginx.conf |
Correção 8: Auditar o Certificado SSL e a Configuração de Redirecionamento HTTPS
Esta correção está ausente da maioria dos guias sobre 403, mas é uma causa genuína e frequentemente ignorada. Regras de redirecionamento SSL mal configuradas podem produzir erros 403 em cenários específicos.
Cenário 1: Forçar HTTPS antes de o certificado ser válido
Se um redirecionamento .htaccess forçar todo o tráfego para HTTPS mas o certificado SSL ainda não estiver provisionado ou tiver expirado, algumas configurações de servidor retornam 403 em vez de um erro de certificado.
# Problematic if SSL is not configured on the server
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]Verifique se o seu certificado está ativo e corretamente instalado antes de impor redirecionamentos HTTPS.
Cenário 2: Requisito de certificado de cliente mod_ssl
Se a sua configuração Apache exigir certificados SSL do lado do cliente para autenticação e o navegador não apresentar um, o Apache retorna 403:
<Directory /var/www/secure>
SSLVerifyClient require
SSLVerifyDepth 1
</Directory>A menos que tenha implementado intencionalmente TLS mútuo (mTLS), remova ou defina SSLVerifyClient none.
Cenário 3: Pré-carregamento HSTS com cadeia de redirecionamento incorreta
Um ciclo de redirecionamento causado por cabeçalhos HSTS conflituantes e regras HTTP-para-HTTPS pode manifestar-se como um 403 em certas combinações de navegador/proxy. Inspecione a cadeia de redirecionamento completa com:
curl -I -L --max-redirs 10 http://yourdomain.comDiagnóstico Sistemático: Ler os Seus Registos de Erros
Cada correção acima deve ser acompanhada de monitorização de registos em tempo real. Adivinhar sem ler os registos é uma perda de tempo.
Apache — monitorizar o registo de erros em tempo real:
tail -f /var/log/apache2/error.log | grep 403NGINX — monitorizar o registo de erros em tempo real:
tail -f /var/log/nginx/error.log | grep 403Ambientes cPanel — aceder aos registos via:
tail -f /usr/local/apache/logs/error_logA entrada do registo irá quase sempre indicar exatamente qual ficheiro desencadeou o 403 e porquê — permissão negada, índice em falta ou uma regra de negação explícita.
Matriz de Decisão: Escolher a Correção Certa
Utilize esta matriz para identificar a correção mais provável com base nos seus sintomas:
| Sintoma | Causa Mais Provável | Correção Principal |
|---|---|---|
| 403 em todas as páginas após migração | Propriedade de ficheiros alterada durante a transferência | Correção 1 — chown e chmod recursivamente |
| 403 após instalar um plugin WordPress | Plugin adicionou regras .htaccess | Correção 2 + Correção 3 |
| 403 apenas em ficheiros de imagem ou multimédia | Proteção hotlink mal configurada | Correção 6 |
| 403 após alteração do seu IP | Regra de negação de IP a visar o IP antigo | Correção 5 |
| 403 num VPS novo sem CMS | Apache 2.4 com Require all granted em falta | Correção 7 |
| 403 após ativar SSL | Redirecionamento HTTPS ou configuração incorreta de mod_ssl | Correção 8 |
| 403 apenas num navegador | Resposta de erro em cache | Correção 4 |
| 403 na página de erro do Cloudflare | Regra de Firewall CDN ou bloqueio de reputação de IP | Correção 4 (limpeza CDN) + painel Cloudflare |
| 403 no URL de diretório, não em ficheiros | Sem ficheiro de índice + Options -Indexes | Correção 7 — adicionar ficheiro de índice ou ativar +Indexes |
Principais Conclusões Técnicas
- Leia sempre o registo de erros do servidor primeiro — identifica exatamente qual ficheiro e o motivo do 403 em segundos.
- No Apache 2.4+,
Require all grantedé obrigatório em cada bloco<Directory>. Omiti-lo é a causa mais comum de 403 em configurações de servidor novas. - As permissões de ficheiros por si só são insuficientes — a propriedade deve corresponder ao utilizador do processo do servidor web (
www-data,apache,nginx). - Um 403 servido por um CDN (Cloudflare, Fastly) é completamente separado de um 403 servido pelo seu servidor de origem. Corrigir um não tem efeito no outro.
- Em sites WordPress, teste sempre com plugins desativados em massa antes de gastar tempo no diagnóstico ao nível do servidor.
- Se gerir a sua própria infraestrutura num VPS ou Servidor Dedicado, mantenha os registos
fail2bane as regrasiptablesem âmbito — operam abaixo da camada do servidor web e são invisíveis para as ferramentas de depuração ao nível da aplicação. - As regras de proteção hotlink que bloqueiam cabeçalhos
Referervazios afetarão utilizadores legítimos em navegadores de privacidade e cliques em links de email — inclua sempre uma exceção para referências em branco.
FAQ
Qual é a diferença entre um erro 403 Forbidden e um erro 401 Unauthorized?
Um erro 401 Unauthorized significa que o servidor requer autenticação e o cliente não forneceu credenciais válidas — a reautenticação pode resolvê-lo. Um 403 Forbidden significa que o servidor identificou quem você é (ou não requer autenticação) mas recusa explicitamente o acesso independentemente. Fornecer credenciais não ajudará com um 403.
Um erro 403 pode afetar as classificações SEO do meu website?
Sim. Se o Googlebot receber um 403 ao rastrear uma página, não consegue indexar essa página. Erros 403 persistentes em URLs importantes farão com que desapareçam dos resultados de pesquisa. Utilize a ferramenta de Inspeção de URL da Google Search Console para verificar se o Googlebot consegue aceder às suas páginas e monitorize o relatório de Cobertura para erros de rastreamento relacionados com 403.
Por que recebo um erro 403 apenas em tipos de ficheiros específicos (imagens, PDFs)?
Isto aponta quase sempre para a proteção hotlink (Correção 6) ou uma regra específica de tipo MIME em .htaccess. Verifique as diretivas FilesMatch ou RewriteRule que visam extensões específicas. Verifique também se o diretório que contém esses ficheiros tem permissões 755 e pertence ao utilizador correto do servidor.
Como corrijo um erro 403 se não tenho acesso SSH ou FTP?
Utilize o Gestor de Ficheiros baseado na web do seu fornecedor de alojamento (disponível no cPanel, Plesk ou DirectAdmin) para inspecionar e modificar permissões de ficheiros e ficheiros .htaccess. Para problemas específicos do WordPress, a ferramenta WP-CLI (se disponível através do terminal do seu painel de controlo) ou acesso direto à base de dados via phpMyAdmin pode ajudar a desativar plugins e mudar temas sem SSH.
Um erro 403 significa que o meu website foi pirateado?
Não necessariamente, mas pode ser um sintoma. O malware por vezes injeta regras de negação em ficheiros .htaccess ou modifica permissões de ficheiros para impedir o acesso. Se não conseguir identificar uma causa baseada em configuração para o 403, analise os seus ficheiros em busca de modificações não autorizadas usando uma ferramenta como rkhunter, Wordfence (se conseguir aceder ao WordPress) ou o scanner de malware do seu fornecedor de alojamento. Compare os hashes de ficheiros com cópias de segurança conhecidas como boas, se disponíveis.