403 Forbidden

403 Forbiddenは、HTTPステータスコードの『4xx系（クライアントエラー）』の1つで、『サーバーはリクエストを理解したが、アクセスを拒否した』ことを示します。ページは存在するが閲覧を許可されていない、という状態を表すエラーです。404（ページが存在しない）とは明確に区別されます。

403が発生する主な原因は次の6パターンに分類できます。①ファイル/ディレクトリのパーミッション不足: サーバー上のファイルに適切な読み取り権限が設定されていない。②認証情報の不一致: ベーシック認証のユーザー名・パスワードが間違っている。③IPアドレスによるアクセス制限: 特定の国・IP帯からのアクセスを遮断している。④WAF（Web Application Firewall）による遮断: SQLインジェクション・XSS等の攻撃パターンを含むと判定されて弾かれた。⑤.htaccessの設定: 特定ファイル・ディレクトリの閲覧を明示的に禁止している。⑥ディレクトリインデックスの無効化: index.html等が無いフォルダに直接アクセスした。

閲覧者側の対処手順は次のとおりです。第1にURLが正しいか確認、ディレクトリ末尾にindex.htmlが想定されていないか検討。第2にブラウザのキャッシュ・Cookieクリア。第3にVPNが有効なら一度切断して試す（VPN経由のIPがブロックされているケース）。第4に別の端末・回線で試す。第5に時間をおいて再アクセス。第6にサイト運営者に連絡。

Webサイト運営者側でユーザーから『403で見られない』と報告を受けた場合、まず自社のWAFログ（Cloudflare・SiteGuard Lite・WAFサービスの管理画面）を確認して、どのルールに引っかかったか特定するのが最短ルートです。誤検知（false positive）の場合はWAFルールの例外追加、特定国からの全IPブロックの見直しなどで対応します。

WordPress特有の403事例としては、プラグイン（SiteGuard WP Plugin等）が管理画面ログインURLを変えた結果、旧URLでのアクセスが403になる現象、特定記事の更新時にWAFがPHP実行コードを検知して投稿自体が403で弾かれる現象が頻発します。後者はminto.techでもWAFブロックとして発生しており、ゼロ幅スペース挿入などのWAF回避テクニックが日常的に使われています。

AWS S3・GCSの静的ホスティングでも、バケットの公開設定を忘れると403になりやすく、クラウド初心者が最初に遭遇するエラーの1つです。