Erreur 403

A retenir

L'erreur 403 signifie que le serveur comprend la requête mais refuse de l'exécuter
Elle diffère de la 404 : la ressource existe mais l'accès est interdit
Les causes principales sont des permissions fichiers incorrectes ou un blocage volontaire
Une page bloquée en 403 ne sera pas indexée par Google
La résolution passe généralement par la correction des permissions ou de la configuration serveur

L’erreur 403, aussi appelée « 403 Forbidden », est un code de statut HTTP indiquant que le serveur a bien reçu et compris la requête, mais refuse de l’autoriser. Contrairement à l’erreur 404 où la ressource n’existe pas, la page en 403 existe bel et bien, mais son accès est bloqué.

Comment fonctionne l’erreur 403

Lorsqu’un navigateur ou un robot comme Googlebot demande une URL, le serveur vérifie plusieurs niveaux d’autorisation avant de servir la page :

La requête arrive au serveur
Le serveur identifie la ressource demandée
Il vérifie les permissions d’accès (fichier, dossier, règles de configuration)
L’accès est refusé : le serveur renvoie un code 403
Le navigateur affiche une page d’erreur « Accès interdit »

Le code 403 fait partie de la famille des erreurs 4xx (erreurs client). Il signale que la requête est valide techniquement, mais que le serveur refuse délibérément d’y répondre.

Causes courantes de l’erreur 403

Plusieurs configurations peuvent déclencher une erreur 403 :

Permissions de fichiers incorrectes

Sur les serveurs Linux, chaque fichier et dossier possède des permissions définissant qui peut lire, écrire ou exécuter. Si les permissions sont trop restrictives, le serveur web (Apache, Nginx) ne peut pas lire le fichier et renvoie une 403.

Les permissions recommandées sont généralement :

Dossiers : 755 (lecture et exécution pour tous, écriture pour le propriétaire)
Fichiers : 644 (lecture pour tous, écriture pour le propriétaire)

Fichier index manquant

Quand un utilisateur accède à un dossier sans préciser de fichier (exemple : /images/), le serveur cherche un fichier index (index.html, index.php). S’il n’existe pas et que le listing des répertoires est désactivé, le serveur renvoie une 403.

Règles dans le fichier .htaccess

Le fichier .htaccess peut contenir des directives bloquant certains accès :

# Bloquer l'accès à tout le monde
Deny from all

# Bloquer une IP spécifique
Deny from 192.168.1.100

# Bloquer l'accès à un dossier
<Directory /var/www/html/admin>
    Require all denied
</Directory>

Blocage par le fichier robots.txt

Attention à ne pas confondre : le fichier robots.txt n’empêche pas l’accès aux pages pour les utilisateurs. Il indique simplement aux robots de ne pas les explorer. Cependant, certains serveurs mal configurés peuvent renvoyer une 403 sur des ressources mentionnées dans le robots.txt.

Protection par authentification

Une zone protégée par mot de passe (via .htpasswd par exemple) peut renvoyer une 403 si l’authentification échoue ou n’est pas fournie.

Pare-feu ou système de sécurité

Les pare-feu applicatifs (WAF), les plugins de sécurité WordPress ou les protections anti-DDoS peuvent bloquer certaines requêtes qu’ils jugent suspectes et renvoyer une erreur 403.

Cause	Symptôme	Solution
Permissions fichiers	403 sur des pages spécifiques	Corriger les permissions (644/755)
Index manquant	403 sur les URLs de dossiers	Ajouter un fichier index ou activer le listing
Règle .htaccess	403 sur une section du site	Vérifier et corriger le .htaccess
Pare-feu / WAF	403 intermittente ou sur certaines IP	Vérifier les logs et whitelist si nécessaire
Hotlink protection	403 sur les images depuis d’autres sites	Vérifier la configuration hotlink

Impact de l’erreur 403 sur le SEO

Une erreur 403 a des conséquences directes sur votre référencement :

Blocage de l’indexation

Si Googlebot reçoit une 403 en tentant d’accéder à une page, il ne peut pas en lire le contenu. La page ne sera donc pas indexée. Si elle était déjà dans l’index, Google finira par la supprimer après plusieurs échecs de crawl.

Perte de crawl budget

Chaque tentative d’accès à une page en 403 consomme du crawl budget. Si de nombreuses URLs renvoient cette erreur, Googlebot gaspille des ressources qui auraient pu servir à explorer vos contenus valides.

Dégradation de l’expérience utilisateur

Un visiteur qui tombe sur une erreur 403 sans explication claire quittera probablement votre site. Contrairement à une page 404 personnalisée, les pages 403 sont rarement travaillées pour retenir l’utilisateur.

Si vous bloquez volontairement une page aux utilisateurs, assurez-vous qu’elle ne reçoit pas de liens internes ou externes. Sinon, utilisez une redirection 301 vers une page accessible ou laissez-la renvoyer une 404 si elle n’a plus lieu d’exister.

Comment résoudre une erreur 403

La méthode de résolution dépend de la cause identifiée :

Corriger les permissions fichiers

Connectez-vous à votre serveur via FTP ou SSH et vérifiez les permissions :

# Via SSH, corriger les permissions d'un dossier
chmod 755 /chemin/vers/dossier/

# Corriger les permissions d'un fichier
chmod 644 /chemin/vers/fichier.php

# Corriger récursivement tous les dossiers
find /var/www/html -type d -exec chmod 755 {} \;

# Corriger récursivement tous les fichiers
find /var/www/html -type f -exec chmod 644 {} \;

Vérifier le fichier .htaccess

Examinez votre fichier .htaccess à la recherche de directives Deny ou Require. Pour tester, renommez temporairement le fichier en .htaccess_backup et rechargez la page.

Ajouter un fichier index

Si l’erreur survient sur une URL de dossier, créez un fichier index.html ou index.php dans ce dossier, ou activez le listing des répertoires (déconseillé pour des raisons de sécurité).

Vérifier les logs serveur

Les logs d’erreur du serveur (error.log pour Apache, error_log pour Nginx) indiquent souvent la raison précise du blocage. Consultez-les pour identifier la source du problème.

Contacter l’hébergeur

Si vous ne trouvez pas la cause, votre hébergeur peut avoir mis en place des protections au niveau serveur. Contactez le support technique en leur fournissant les URLs concernées et les heures des erreurs.

Erreur 403 vs autres codes HTTP

Pour diagnostiquer correctement, distinguez la 403 des codes similaires :

401 Unauthorized : authentification requise mais non fournie. Fournir des identifiants peut résoudre le problème.
403 Forbidden : accès refusé même avec authentification. Le serveur refuse catégoriquement.
404 Not Found : la ressource n’existe pas du tout.
410 Gone : la ressource a existé mais a été supprimée définitivement.

En SEO, une 403 involontaire sur des pages importantes est plus problématique qu’une 404. La 404 indique clairement à Google que la page n’existe plus, tandis que la 403 crée une ambiguïté : la page existe, mais Google ne peut pas y accéder pour vérifier son contenu.

Questions frequentes

Google pénalise-t-il les sites avec des erreurs 403 ?

Non, il n'y a pas de pénalité directe. Cependant, si des pages importantes renvoient une 403, elles ne seront pas indexées et vous perdrez leur potentiel de trafic. Des erreurs 403 massives peuvent aussi signaler un problème technique qui dégrade globalement le crawl de votre site.

Quelle différence entre 403 et 401 ?

L'erreur 401 signifie que l'authentification est requise mais n'a pas été fournie. L'erreur 403 signifie que l'accès est refusé même si l'utilisateur s'est authentifié. En d'autres termes : 401 = "Identifiez-vous", 403 = "Vous n'avez pas le droit, point final".

Puis-je utiliser une 403 pour bloquer Googlebot ?

Techniquement oui, mais ce n'est pas recommandé. Utilisez plutôt le fichier robots.txt pour interdire le crawl ou une balise noindex pour empêcher l'indexation. Une 403 est perçue comme une erreur technique plutôt qu'une instruction volontaire.

Retour au glossaire

Un projet SEO en tete ?