Du sitzt gemütlich am Rechner, willst nur mal eben einen neuen Blogartikel veröffentlichen oder ein Plugin updaten – und dann das: 403 Forbidden beim Aufruf von /wp-admin. Herzlichen Glückwunsch, du bist jetzt offiziell Mitglied im Club der WordPress-Admin-Gesperrten! Aber keine Sorge, du bist nicht allein. Laut W3Techs laufen über 43% aller Websites weltweit auf WordPress – und gefühlt hat jeder Admin schon mal mit dem 403er zu kämpfen gehabt. In diesem Artikel nehmen wir dich an die Hand und zeigen dir, wie du den Fehler Schritt für Schritt behebst. Mit einer Prise Humor, einer ordentlichen Portion Fachwissen und einer Checkliste, die selbst Sherlock Holmes neidisch machen würde.
Bevor wir in die Tiefen der .htaccess, IP-Blocks und WAFs abtauchen, lass uns kurz klären, was ein 403 Forbidden überhaupt ist. Der HTTP-Statuscode 403 bedeutet: „Du kommst hier nicht rein!“ – und zwar, weil der Server deine Anfrage zwar verstanden hat, dir aber den Zugriff verweigert. Das kann viele Gründe haben, von falsch konfigurierten Sicherheitsregeln bis hin zu übereifrigen Plugins. Laut Wordfence sind Sicherheitsfeatures wie Firewalls und IP-Blocker die häufigsten Ursachen für 403-Fehler im WordPress-Backend.
Jetzt aber Butter bei die Fische: Wie findest du heraus, was genau bei dir schief läuft? Und wie bekommst du wieder Zugang zu deinem geliebten /wp-admin? Hier kommt die ultimative Checkliste!
-
1. IP-Block: Wirst du ausgesperrt?
-
Firewall-Plugins prüfen: Viele WordPress-Sicherheitsplugins wie Wordfence, Sucuri oder iThemes Security bieten IP-Blocklisten. Logge dich (sofern möglich) per FTP oder über das Hosting-Panel ein und prüfe die Konfigurationsdateien der Plugins. Bei Wordfence findest du geblockte IPs in
wflogsoder direkt in der DatenbanktabellewfBlockedIPLog. Entferne deine IP, falls sie dort steht. - Serverseitige Firewalls & Hosting-Schutz: Viele Hoster wie All-Inkl, IONOS oder Raidboxes setzen eigene Firewalls ein. Prüfe im Hosting-Panel, ob deine IP gesperrt wurde. Oft gibt es eine Übersicht oder ein Logfile, in dem du nachsehen kannst. Falls du keinen Zugriff hast, hilft meist ein Anruf beim Support.
- Cloud-basierte WAFs (Web Application Firewalls): Dienste wie Cloudflare oder Sucuri blockieren manchmal IPs, wenn sie verdächtige Aktivitäten feststellen. Logge dich in das jeweilige Dashboard ein und prüfe die Firewall-Events. Bei Cloudflare findest du unter „Firewall Events“ eine Liste aller geblockten Anfragen. Whiteliste deine IP, falls nötig.
- VPN & Proxy beachten: Nutzt du ein VPN oder einen Proxy? Manche Firewalls blockieren ganze IP-Bereiche, die als „unsicher“ gelten. Teste den Zugriff ohne VPN/Proxy oder wechsle den Serverstandort.
-
Firewall-Plugins prüfen: Viele WordPress-Sicherheitsplugins wie Wordfence, Sucuri oder iThemes Security bieten IP-Blocklisten. Logge dich (sofern möglich) per FTP oder über das Hosting-Panel ein und prüfe die Konfigurationsdateien der Plugins. Bei Wordfence findest du geblockte IPs in
-
2. .htaccess-Check: Die geheime Tür zum Backend
-
.htaccess sichern & analysieren: Die
.htaccess-Datei im WordPress-Stammverzeichnis ist oft der Übeltäter. Lade sie per FTP herunter und öffne sie in einem Texteditor. Suche nach Regeln wieDeny from alloderRequire all deniedim Bereich/wp-admin. Solche Zeilen blockieren den Zugriff – entferne sie testweise oder kommentiere sie aus. -
Standard .htaccess wiederherstellen: Manchmal hilft es, die Datei auf den WordPress-Standard zurückzusetzen. Hier ein Beispiel für die Standard-
.htaccess:# BEGIN WordPress <IfModule mod_rewrite.c> RewriteEngine On RewriteBase / RewriteRule ^index.php$ - [L] RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !-d RewriteRule . /index.php [L] </IfModule> # END WordPressErsetze deine
.htaccessmit diesem Inhalt und prüfe, ob der Fehler verschwindet. Aber Vorsicht: Individuelle Weiterleitungen oder Sicherheitsregeln gehen dabei verloren! -
Versteckte .htaccess-Dateien in Unterordnern: Auch im
/wp-admin– oder/wp-includes-Ordner können sich eigene.htaccess-Dateien verstecken. Prüfe auch diese auf restriktive Regeln.
-
.htaccess sichern & analysieren: Die
-
3. WAF (Web Application Firewall): Freund oder Feind?
- WAF-Logs auswerten: Professionelle WAFs wie ModSecurity (oft bei Agentur-Hostern aktiv) protokollieren geblockte Anfragen. Im Hosting-Panel findest du meist einen Bereich „Sicherheit“ oder „Firewall-Logs“. Suche nach 403-Einträgen und prüfe, ob deine IP oder bestimmte URLs betroffen sind.
-
Regeln temporär deaktivieren: Viele WAFs erlauben das temporäre Deaktivieren einzelner Regeln. Teste, ob der Zugriff auf
/wp-adminwieder funktioniert, wenn du die restriktivsten Regeln ausschaltest. Aber: Nicht vergessen, die Regeln nach dem Test wieder zu aktivieren! - Whitelist für eigene IP: Füge deine eigene IP zur Whitelist hinzu, um dich selbst von restriktiven Regeln auszunehmen. Das geht meist im Dashboard der WAF oder über eine Support-Anfrage.
-
4. Plugins & Themes: Wenn der Schutz zu weit geht
-
Problematische Plugins deaktivieren: Sicherheits-Plugins, aber auch Caching- oder Redirect-Plugins können 403-Fehler verursachen. Benenne per FTP den Plugin-Ordner (z.B.
wordfencezuwordfence_old) um, um das Plugin zu deaktivieren. Teste danach den Zugriff auf/wp-admin. -
Theme-Konflikte ausschließen: Auch Themes können eigene Sicherheitsregeln enthalten. Wechsle testweise auf ein Standard-Theme wie „Twenty Twenty-Three“, indem du im Ordner
/wp-content/themesalle anderen Themes umbenennst.
-
Problematische Plugins deaktivieren: Sicherheits-Plugins, aber auch Caching- oder Redirect-Plugins können 403-Fehler verursachen. Benenne per FTP den Plugin-Ordner (z.B.
-
5. Dateiberechtigungen & Serverkonfiguration
-
Dateirechte prüfen: Falsche Dateiberechtigungen führen oft zu 403-Fehlern. Die Standardrechte für WordPress sind:
Datei/Ordner Empfohlene Rechte Dateien 644 Ordner 755 wp-config.php 600 oder 640 Passe die Rechte per FTP oder im Hosting-Panel an. Bei Unsicherheit: Lieber zu restriktiv als zu offen!
-
Besondere Servereinstellungen: Manche Hoster nutzen zusätzliche Sicherheitsmodule wie „mod_security“ oder „Imunify360“. Diese können den Zugriff auf
/wp-adminblockieren, wenn sie verdächtige Anfragen erkennen. Prüfe die Server-Logs oder frage beim Support nach.
-
Dateirechte prüfen: Falsche Dateiberechtigungen führen oft zu 403-Fehlern. Die Standardrechte für WordPress sind:
-
6. Browser & Cookies: Die unterschätzten Fehlerquellen
- Cookies & Cache löschen: Manchmal liegt es gar nicht am Server, sondern am Browser. Lösche alle Cookies und den Cache, bevor du weiter Fehler suchst.
- Anderen Browser testen: Klingt banal, hilft aber oft. Teste den Zugriff mit einem anderen Browser oder im Inkognito-Modus.
Du siehst: Die Ursachen für einen 403 Forbidden auf /wp-admin sind vielfältig. Die meisten Probleme lassen sich mit systematischem Vorgehen und etwas Geduld lösen. Falls du nach all diesen Schritten immer noch nicht weiterkommst, hilft oft nur noch der Support deines Hosters – oder ein erfahrener WordPress-Profi.
Hier noch ein kleiner Spickzettel für die häufigsten Ursachen und ihre Lösungen:
| Ursache | Lösung |
|---|---|
| IP durch Firewall geblockt | IP auf Whitelist setzen, Firewall-Logs prüfen |
| .htaccess blockiert Zugriff | .htaccess sichern, restriktive Regeln entfernen, Standard wiederherstellen |
| WAF blockiert Anfragen | WAF-Logs prüfen, Regeln anpassen, eigene IP whitelisten |
| Plugin/Theme verursacht Fehler | Plugins/Themes per FTP deaktivieren, Standard-Theme aktivieren |
| Dateirechte falsch gesetzt | Dateirechte auf 644/755 setzen |
| Browser-Cache/Cookies | Cache & Cookies löschen, anderen Browser testen |
Und jetzt mal ehrlich: Wer will sich schon stundenlang mit Fehlersuche und Serverlogs beschäftigen, wenn man eigentlich an seiner Website feilen oder neue Kunden gewinnen will? Genau dafür gibt’s uns – Nakaryu! Wir sind nicht nur WordPress-Profis, sondern auch echte Problemlöser mit Herz, Humor und einer Leidenschaft für digitale Ästhetik. Ob du eine neue Website brauchst, einen WooCommerce-Shop starten willst oder einfach nie wieder einen 403-Fehler sehen möchtest – wir sind für dich da. Schau dir unsere Webdesign-Flatrate an und lass uns gemeinsam deine digitale Präsenz auf das nächste Level bringen!
Quellen:
- W3Techs: WordPress Usage Statistics
- Wordfence: WordPress Security 2022
- WordPress.org: .htaccess
- Cloudflare: What is a Web Application Firewall?
- WPBeginner: How to Fix the 403 Forbidden Error in WordPress
Fragen zum Thema
Was bedeutet der 403 Forbidden-Fehler bei WordPress und warum tritt er auf?
Der 403 Forbidden-Fehler signalisiert, dass der Server deine Anfrage zwar verstanden hat, dir aber den Zugriff verweigert. Häufige Ursachen sind Firewall-Plugins, IP-Blocker, restriktive .htaccess-Regeln, Web Application Firewalls (WAF), fehlerhafte Dateiberechtigungen oder auch problematische Plugins/Themes. Laut Wordfence sind Sicherheitsfeatures wie Firewalls und IP-Blocker die häufigsten Auslöser.
Wie kann ich prüfen, ob meine IP-Adresse durch eine Firewall oder ein Plugin blockiert wird?
Viele Sicherheits-Plugins wie Wordfence, Sucuri oder iThemes Security bieten eine IP-Blockliste. Prüfe die Konfigurationsdateien der Plugins per FTP oder im Hosting-Panel. Auch serverseitige Firewalls und cloudbasierte WAFs wie Cloudflare können IPs blockieren – hier hilft ein Blick ins jeweilige Dashboard unter „Firewall Events“. Nutzt du ein VPN oder Proxy, teste den Zugriff ohne diese Dienste.
Welche Rolle spielt die .htaccess-Datei beim 403-Fehler und wie kann ich sie überprüfen?
Die .htaccess-Datei steuert viele Zugriffsrechte auf deinem Server. Suche nach restriktiven Regeln wie Deny from all oder Require all denied speziell im Bereich /wp-admin. Entferne oder kommentiere diese testweise aus. Im Zweifel kannst du die Datei auf den WordPress-Standard zurücksetzen (siehe Artikel). Prüfe auch auf versteckte .htaccess-Dateien in Unterordnern wie /wp-admin oder /wp-includes.
Wie kann ich Plugins und Themes als Ursache für den 403-Fehler ausschließen?
Deaktiviere verdächtige Plugins (vor allem Sicherheits-, Caching- oder Redirect-Plugins) per FTP, indem du den Plugin-Ordner umbenennst. Teste danach den Zugriff auf /wp-admin. Auch Themes können eigene Sicherheitsregeln enthalten – wechsle testweise auf ein Standard-Theme wie „Twenty Twenty-Three“, indem du alle anderen Themes im Ordner /wp-content/themes umbenennst.
Was kann ich tun, wenn Dateiberechtigungen oder Servereinstellungen den Fehler verursachen?
Prüfe die Dateirechte per FTP oder im Hosting-Panel. Die Standardrechte für WordPress sind: 644 für Dateien, 755 für Ordner, 600/640 für wp-config.php. Passe die Rechte entsprechend an. Manche Hoster nutzen zusätzliche Sicherheitsmodule wie „mod_security“ oder „Imunify360“, die ebenfalls blockieren können – prüfe die Server-Logs oder kontaktiere den Support.
Jetzt kostenfreies Erstgespräch sichern
Lass dich unverbindlich beraten
→ Schreib an hey@nakaryu.de, chatte bei WhatsApp, oder ruf an +49 152 58119266. Wir beraten dich gerne.
15% Rabatt auf alle Pakete
→ Für Vereine, Creator & Künstler. Schreib uns einfach an.
Weiterempfehlen lohnt sich
→ 100 € Gutschrift für jeden geworbenen Neukunden.