「WordPressを開いたら403 Forbiddenと表示されてサイトに入れない…」と焦っていませんか?
突然のエラーで頭が真っ白になる気持ち、よくわかります。
特に初心者の方は「自分が何か壊してしまったのかも」と不安になりがちです。
しかし落ち着いてください。
403エラーは原因が限られており、正しい手順を踏めば自分で解決できることがほとんどです。
よこやま良平ITエンジニアとして20年以上WordPressに携わってきたよこやま良平です。わたしの現場経験をもとに、403エラーの原因と解決手順をわかりやすく解説します。
- WordPress 403エラーの主な原因と見分け方
- 原因別の解決手順(ステップごとに解説)
- パーミッション・.htaccess・プラグインの正しい設定方法
- 403エラーを自分で解決し再発を防ぐ
403エラーは原因さえ特定できれば、ほとんどのケースで自分で解決できます。この記事の手順どおりに進めれば、初心者の方でも安心して対処できます。
まずは403エラーの正体を理解するところから始めましょう。
こんなお悩みはありませんか?
- ある朝、サイトを開いたら真っ白画面になっていた
- 管理画面にログインできなくなって手が止まった
- 身に覚えのない記事やページが勝手に増えていた
- プラグインを更新したらサイト全体が崩れてしまった
- 以前バックアップを取ったか自分でも覚えていない
累計1,000件以上のWordPressトラブル対応の経験から、「壊れる前に備える」ためのチェックリストを1冊にまとめました。
ログイン・本体・バックアップ・サーバー・運用の5分野を、50項目で「危険度・確認方法・対処法」まで解説しています。
セキュリティプラグイン・WordPressの教科書も含めた3大特典を、
今なら無料で受け取れます。
WordPress 403エラーとは何か?まず原因を正しく理解しよう
403エラー(403 Forbidden)とは、サーバーがリクエストを受け取ったものの「あなたにはこのページへのアクセス権限がない」として拒否した状態です。サイトが存在していないのではなく、アクセスを意図的にブロックしている点が特徴です。
404エラー(ページが見つからない)と混同されがちですが、403は「ページはある・でも入れない」という状態。原因はサーバー設定・ファイルのパーミッション・セキュリティプラグインなど複数考えられます。
WordPress 403エラーが出る主な場面
403エラーは、あらゆる場面で突然発生します。わたしがこれまで見てきた現場では、特に次のような状況で報告が多くありました。
- WordPressの管理画面(wp-admin)にアクセスしようとしたとき
- サイトのトップページや特定の投稿ページを開いたとき
- プラグインを更新・インストールした直後
- サーバー移行・バックアップ復元後
- セキュリティプラグインの設定を変更した後
WordPress 403エラーの主な原因4つ
原因を正確に把握することが、最短で解決するための第一歩です。よくある原因は以下の4つに絞られます。
- ① .htaccessファイルの破損・設定ミス
- ② ファイル・フォルダのパーミッション(権限)設定ミス
- ③ セキュリティプラグインによるIPアドレスブロック
- ④ サーバー側のセキュリティ設定(WAF・mod_security)
次のセクションから、この4つの原因それぞれに対する解決方法を順番に解説します。
WordPress 403エラー 解決方法①:.htaccessを修正する
.htaccessファイルの問題がWordPressの403エラーで最も多い原因です。
このファイルを正しく書き直すだけで、多くのケースが解決します。
.htaccessはWordPressのルートディレクトリ(public_html直下など)に置かれ、URLの書き換えルールやアクセス制限を定義するファイルです。内容が壊れていたり誤った設定が入っていたりすると、サーバーがリクエストを拒否して403エラーになります。
.htaccessのバックアップを取ってからリセットする手順
まず、FTPソフト(FileZillaなど)またはレンタルサーバーのファイルマネージャーを使って、現在の.htaccessをダウンロードしてバックアップしてください。
バックアップが完了したら、.htaccessの中身をいったん以下のデフォルト内容に書き換えます。
# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress書き換え後にサイトを確認して403エラーが解消されていれば、.htaccessが原因だったと確定できます。
WordPressの管理画面から.htaccessを再生成する方法
.htaccessをリセットした後は、WordPress管理画面からパーマリンクを再保存することで正しい.htaccessを自動生成できます。
- WordPress管理画面にログインする
- 「設定」→「パーマリンク」を開く
- 何も変更せずに「変更を保存」ボタンをクリックする
この操作だけで.htaccessが自動的に正しい内容で上書きされます。管理画面にアクセスできる場合は、FTPを使わずこの方法が最も手軽です。
.htaccessを書き換える前に、必ず元のファイルをダウンロードして保存してください。独自のリダイレクト設定やアクセス制限ルールが入っている場合、リセット後に再設定が必要になります。
WordPress 403エラー 解決方法②:パーミッションを正しく設定する
ファイルやフォルダのパーミッション(権限)が不正な値になっていると、サーバーがアクセスを拒否して403エラーが発生します。正しい数値に修正することが解決の正解です。
パーミッションはファイルに誰がアクセス・変更できるかを3桁の数字で管理する仕組みです。WordPressでは推奨値が決まっており、これを外れると動作異常やセキュリティリスクにつながります。
WordPressの推奨パーミッション値
- フォルダ(ディレクトリ):755
- ファイル:644
- wp-config.php:400 または 600(より厳しく管理)
777(誰でも読み書き実行可能)や000(誰もアクセス不可)などの極端な値が設定されていると問題が起きます。特に777はセキュリティ上の重大リスクにもなるため、絶対に避けてください。
FTPソフトでパーミッションを変更する手順
FileZillaなどのFTPソフトを使えば、GUIで簡単にパーミッションを変更できます。
- FTPでサーバーに接続し、WordPressのルートディレクトリを開く
- 対象のフォルダまたはファイルを右クリックして「パーミッション/属性の変更」を選ぶ
- 数値欄にフォルダは「755」、ファイルは「644」と入力して「OK」をクリックする
- フォルダ内のすべてのファイル・サブフォルダにも適用する場合は「サブディレクトリに再帰的に適用」にチェックを入れる
コマンドで対応する場合
# フォルダを755に変更
find /path/to/wordpress -type d -exec chmod 755 {} \;
# ファイルを644に変更
find /path/to/wordpress -type f -exec chmod 644 {} \;/path/to/wordpressの部分はご自身のWordPressインストールディレクトリに書き換えてください。
WordPress 403エラー 解決方法③:セキュリティプラグインの設定を確認する
セキュリティプラグインが自分のIPアドレスをブロックしてしまい、403エラーが起きるケースがあります。
プラグインの設定を確認・調整することで解決できます。
ログイン試行の失敗が多いと判断されたり、VPNや海外IPからアクセスしたりした場合に、
セキュリティプラグインが自動的にIPをブロックすることがあります。
わたしの経験でも「プラグインを入れた途端に管理画面に入れなくなった」という相談は少なくありません。
セキュリティプラグインのIPブロック解除手順
- FTPで /wp-content/plugins/ フォルダを開く
- 問題のプラグインフォルダ名を変更する(例:wordfence → wordfence_disabled)
- サイトにアクセスして403エラーが解消するか確認する
- 解消した場合、フォルダ名を元に戻してプラグイン設定でIPブロックを解除する
クイックレスキュー365で不正ログインをブロックしつつ403を防ぐ
セキュリティ対策としてプラグインを導入する場合は、不要なIPブロックが起きにくい設計のものを選ぶことが重要です。わたしがおすすめするのはクイックレスキュー365です。
- 不正ログインブロック(辞書攻撃を遮断)
- ログインURL変更(攻撃者に玄関の場所を教えない)
- XMLRPC遮断(遠隔操作による攻撃をシャットアウト)
- UploadsフォルダPHP動作禁止(画像フォルダからのウイルス実行を防ぐ)
ただし、クイックレスキュー365にはマルウェアのスキャン機能はありません。
感染の疑いがある場合はWordfenceなどスキャン機能を持つプラグインを別途利用してください。
WordPress 403エラー 解決方法④:サーバー設定(WAF・mod_security)を確認する
サーバー側のWAF(Webアプリケーションファイアウォール)やmod_securityが誤検知してリクエストをブロックしている場合も、403エラーの原因になります。
レンタルサーバーには不正アクセスを防ぐセキュリティ機能が搭載されており、それが正規のWordPressの動作を「攻撃」と誤判定してしまうことがあります。プラグイン更新後や特定の操作後に403が出た場合は、この可能性を疑いましょう。
WAFを一時的に無効化して原因を切り分ける
WAFを無効にしたままにするとサイトが攻撃にさらされるリスクが高まります。原因が確認できたらすぐにWAFを再有効化し、サーバーサポートに除外設定を依頼するのが正解です。
主要レンタルサーバーでのWAF設定確認場所
- エックスサーバー:サーバーパネル →「WAF設定」
- ロリポップ!:コントロールパネル →「セキュリティ」→「WAF設定」
- さくらのレンタルサーバー:コントロールパネル →「セキュリティ」→「WAF」
- ConoHa WING:コントロールパネル →「サイト管理」→「セキュリティ」→「WAF」
WordPress 403エラー 再発防止のためにやるべき3つのこと
403エラーを解決したあとは、同じトラブルを繰り返さないための予防策を必ず実施してください。問題が起きてから対処するより、事前に防ぐほうが時間もコストもかかりません。
定期的なバックアップを自動化する
エラーが起きた際にバックアップがあれば、最悪の状況でも元の状態に戻せます。
UpdraftPlusなどのバックアッププラグインを使って、週1回以上の自動バックアップを設定しましょう。
バックアップはサーバー外のクラウドストレージ(Google DriveやDropboxなど)に保存するのが理想です。
サーバー障害時にも確実に取り出せます。
WordPressとプラグインを常に最新版に保つ
古いバージョンのWordPressやプラグインはセキュリティの穴(脆弱性)を抱えていることが多く、
攻撃の入口になります。更新通知が来たら早めに対応するのが正解です。
ただし、更新前にはバックアップを取ることを忘れずに。
更新によって別のエラーが起きるリスクもゼロではありません。
不正アクセス対策プラグインで入口を守る
セキュリティプラグインを正しく設定しておくことで、不正ログインや改ざんのリスクを大幅に下げられます。
クイックレスキュー365は、ログインURLの変更・不正ログインブロック・XMLRPC遮断などをまとめて無料で設定できます。
- パーミッションを777に設定する(セキュリティ上の重大リスク)
- WAFを無効化したまま放置する
- バックアップなしでファイルを書き換える
- エラーが出ても原因を特定せずに再インストールだけで済ませる
WordPress 403エラー 解決方法まとめ
WordPress 403エラーは、正しい原因を特定して順番に対処すれば、初心者の方でも自分で解決できます。
- ① .htaccessをデフォルト内容にリセットし、パーマリンクを再保存する
- ② フォルダを755・ファイルを644にパーミッション設定する
- ③ セキュリティプラグインを一時無効化してIPブロックを確認する
- ④ サーバーのWAF・mod_securityの誤検知を確認する
それでも解決できない場合は、サーバー設定の深い部分やマルウェア感染が絡んでいる可能性があります。一人で抱え込まず、専門家への相談も選択肢に入れてください。
WordPressの403エラーが自分で直せない時は
ホームページの乗っ取り・マルウェア感染・不正アクセスでお困りなら、
クイックレスキューが解決します。
- ホームページが乗っ取られた・改ざんされた
- 管理画面にログインできなくなった
- 変なサイトにリダイレクトされている
- Googleに危険なサイトと表示されている
- 自分で復旧しようとしたが直らない
- WordPressを復旧・修正したい
- 万一復旧できない場合やマルウェア駆除できない場合は全額返金保証で安心
- 90日間再感染保証・動作保証で安心
- 初期費用・調査費用0円で安心
