403错误主因是权限、配置和防火墙三重问题:需执行chown -R www:www及chmod -R 755/644修正权限,检查deny/Require规则,排查宝塔防火墙与SSL配置。
网站根目录权限不对,Apache/Nginx 读不了文件
403 错误最常见原因就是:Web 进程(www 用户)没权限进目录、看文件。宝塔默认用 www:www 身份运行服务,但你上传的文件可能是 root 或 FTP 用户所有,且权限没开对。
-
chmod -R 755 /www/wwwroot/your-site.com—— 给目录加执行权(x),否则连进去都做不到 -
chmod -R 644 /www/wwwroot/your-site.com/*.php—— PHP 文件不需要执行权,644 更安全;别全用 755 -
chown -R www:www /www/wwwroot/your-site.com—— 所有权必须是www,光改权限不改 owner 没用 - 注意:
755对目录有效,644对文件有效;混用或全用 777 是典型踩坑点
.htaccess 或 Nginx 配置里写了 deny all
即使文件权限全对,配置文件里一句 deny all 或 Require all denied 就能直接封死访问。宝塔“网站设置 → 配置文件”里最容易藏这类规则。
- 打开站点配置,在
location /或<directory></directory>块里搜deny、Require、allow - Nginx 常见错误写法:
deny all;放在location /末尾却没配allow回来 - Apache 常见错误:
Require all denied没被注释,或没写Require all granted - 临时排查:把整段访问控制相关配置先注释掉,保存后重启 Nginx/Apache 看是否恢复
宝塔防火墙、IP 白名单或防爬规则误拦截
宝塔自带的“防火墙”插件或“网站监控”里的防 CC 规则,可能把你的 IP 或请求头当攻击拦了,返回 403 却不报错。
- 进宝塔左侧“安全”→“防火墙”,看“拦截记录”里有没有你当前 IP 的条目
- 进“网站”→对应站点→“防火墙”,检查是否启用了“防恶意扫描”“防 CC 攻击”并触发了阈值
- 如果刚改过代码或频繁刷新页面,大概率是防 CC 触发;临时关闭该功能测试即可
- 别忽略“IP 白名单”设置——如果开了白名单但没把你自己的 IP 加进去,同样 403
HTTPS 强制跳转 + SSL 未生效或证书异常
绑了域名又开了“强制 HTTPS”,但证书没部署成功、或域名没正确解析到服务器,浏览器会先发 HTTP 请求,Nginx 按规则 301 跳 HTTPS,而 HTTPS 端口(443)实际没响应,部分客户端就直接报 403。
- 检查“网站”→站点→“SSL”,确认证书状态是“已启用”,且“强制 HTTPS”开关和实际证书状态匹配
- 用
curl -I http://your-domain.com看返回是不是 301 跳转;再用curl -I https://your-domain.com看是否返回 200 或 403 - 如果后者返回 403,说明 HTTPS 服务本身有问题——可能是证书路径错、Nginx listen 443 没配、或证书过期
- 注意:Let’s Encrypt 免费证书有效期只有 90 天,到期后不自动续签就会导致此类静默失败
/www/wwwroot/your-site.com 下有没有 index.php 或 index.html,再立刻跑一遍 chown 和 chmod,最后去“防火墙”和“SSL”两个地方扫一眼——这三个动作覆盖了 90% 的真实场景。 
