403 Forbidden sunucunun isteği anladığı ama ilgili kaynağa erişime izin vermediği anlamına gelir. Yani bağlantı kurulmuştur. İstek teknik olarak ulaşmıştır. Ancak sunucu kullanıcıya veya isteğe erişim yetkisi tanımamaktadır. MDNye göre 403 401den farklıdır. Çoğu durumda tekrar giriş yapmak sorunu tek başına çözmez. Çünkü problem doğrudan yetki veya erişim kuralıyla ilgilidir.
403 hatası ne demek
Kısaca.
Sunucu isteği aldı.
İsteği anladı.
Ama içeriği göstermeyi reddetti.
Bu yüzden 403 hatası genelde sayfa yok anlamına gelen 404 ile karıştırılmamalıdır. 404te kaynak bulunamaz. 403te kaynak vardır ama erişim engellenir. MDNnin HTTP durum kodları açıklamasında 403 istemcinin içeriğe erişim hakkı olmadığı durum olarak tanımlanır.
403 hatası neden olur
2026da 403 hatasının en yaygın sebepleri artık sadece klasik dosya izni yanlış problemiyle sınırlı değil. Modern sitelerde WAF CDN bot koruması bucket policy IP country block ve yanlış CORS yapılandırması da çok sık 403 üretir. Cloudflare belgeleri 403ün güvenlik kuralları WAF blokları IP ülke engelleri gibi senaryolarda da dönebileceğini açıkça belirtiyor.
1 Yetki eksikliği.
Kullanıcının ilgili dosya klasör panel veya API kaynağına erişim izni yoksa 403 oluşur. Bu en temel senaryodur. MDN de 403ü uygulama mantığı veya yetersiz izinlerle ilişkilendirir.
2 Dosya ve klasör izinlerinin yanlış olması.
Linux tabanlı sunucularda yanlış chmod veya chown ayarları web server kullanıcısının dosyayı okuyamamasına neden olabilir. Bu durumda kaynak fiziksel olarak var olsa bile erişim reddedilir. Bu özellikle Apache ve Nginx kurulumlarında hâlâ çok yaygın bir nedendir. 403ün temel mantığına göre sunucu kaynağı biliyordur ama erişim vermez.
3 htaccess Nginx veya sunucu kuralı engeli.
Yanlış yönlendirme deny all IP bazlı kısıtlama dizin erişimini kapatma veya belirli user agentları bloklama gibi kurallar 403 üretebilir. Özellikle güvenlik eklentileri ya da hazır yapılandırmalar bu hataya yol açar. Cloudflare ve CloudFront dökümantasyonları da özel güvenlik firewall kurallarının 403 sebebi olabileceğini vurgular.
4 WAF veya bot koruması tarafından engellenme.
2026da 403 hatalarının önemli kısmı artık güvenlik katmanlarından geliyor. Cloudflare WAF blok sayfalarının ve IP country block sayfalarının 403 döndürdüğünü açıkça listeliyor. Bu yüzden site sahibi bazen sunucu çalışıyor ama bazı kullanıcılar neden giremiyor sorusuyla karşılaşır.
5 IP adresi veya ülke bazlı erişim engeli.
Bazı siteler belirli IPleri ASNleri VPN çıkışlarını veya ülkeleri engeller. Bu durumda ziyaretçi 403 görür. Cloudflare hata sayfası tiplerinde IP country block doğrudan 403 olarak tanımlanır.
6 AWS S3 object storage izin hataları.
S3 bucket policy IAM policy public access block veya yanlış tanımlı erişim kuralları 403 hatasına çok sık neden olur. AWS bucket policy yanlışsa erişimin kaybedilebileceğini ve 403 troubleshooting gerekeceğini belirtir. Ayrıca S3te CORS etkin değilse bazı cross origin isteklerde 403 dönebilir.
7 CORS kaynaklı erişim reddi.
Tarayıcı konsolunda görülen bazı 403 hataları özellikle S3 ve benzeri depolama servislerinde CORS yapılandırmasının eksik ya da yanlış olmasından kaynaklanır. AWS bucket için CORS etkin değilse cross origin isteklerde 403 alınabileceğini açıkça söylüyor. Cloudflare R2 belgeleri de 401 veya 403 varsa bunun her zaman salt CORS sorunu olmadığını önce yetkiyi kontrol etmek gerektiğini belirtiyor.
8 İmzalı URL veya token süresinin dolması.
Presigned URL signed request veya erişim tokenı süresi dolduysa sistem doğrudan 403 ya da ilgili erişim reddi hataları döndürebilir. Cloudflare R2 belgelerinde süresi dolmuş imzalı istekler için ayrı hata tanımları bulunuyor. Yetki yetersizliği de 403 ile eşleşiyor.
9 CDN ile origin arasında izin uyuşmazlığı.
CloudFront gibi CDN kullanımlarında sorun bazen CDNde değil asıl origin sunucuda olur. AWS CloudFront 403 görülürse isteğin doğrudan origine yapılarak kaynağın mı yoksa CDN katmanının mı engellediğinin test edilmesini önerir.
403 hatası nasıl çözülür
Aşağıdaki adımlar 2026 için en pratik ve güncel çözüm sırasıdır.
Kullanıcı tarafında yapılacaklar.
1 URLyi kontrol edin.
Yanlış klasör özel dosya yolu veya erişime kapalı endpoint çağrısı 403 doğurabilir.
2 Oturumu kapatıp tekrar giriş yapın.
Her ne kadar 403 çoğu zaman yalnızca yeniden girişle düzelmese de üyelik tabanlı sitelerde rol policy güncellemesi sonrası oturum yenilemek faydalı olabilir. MDNye göre 403 401den farklı olarak genelde yeniden kimlik doğrulama ile çözülen bir durum değildir. Yine de pratikte oturum çakışmaları bazen etkili olabilir.
3 VPN proxy ve tarayıcı eklentilerini kapatın.
WAF veya IP reputation sistemleri VPN trafiğini şüpheli görebilir. Özellikle Cloudflare korumalı sitelerde bu çok yaygındır.
4 Çerez ve cache temizleyin.
Eski oturum çerezleri bozuk auth headerları veya hatalı önbellek nedeniyle erişim engeli devam edebilir.
5 Farklı ağdan deneyin.
Mobil veri ile denemek IP block olup olmadığını anlamanın hızlı yollarından biridir.
Site sahipleri için 403 çözümü.
1 Sunucu loglarını inceleyin
İlk bakılacak yer.
Apache Nginx access log.
error log.
WAF log.
CDN security events.
object storage access log.
403ün gerçekten origin tarafından mı yoksa CDN WAF tarafından mı üretildiğini ayırmak gerekir. AWS CloudFront bunu özellikle önerir.
2 Dosya izinlerini doğrulayın
Genelde güvenli başlangıç için.
klasörler 755.
dosyalar 644.
Ayrıca web server kullanıcısının sahiplik ve okuma izni kontrol edilmelidir.
3 htaccess ve Nginx kurallarını gözden geçirin
Şunları kontrol edin.
deny all.
IP kısıtlama.
hotlink protection.
yanlış rewrite.
klasör listeleme kapatma.
auth allow deny kuralları.
4 WAF ve firewall kurallarını test edin
Cloudflare kullanıyorsanız.
WAF managed rules.
custom rules.
bot fight mode.
country block.
rate limiting.
IP access rules.
gibi katmanlar 403 üretmiş olabilir. Cloudflare belgeleri bu tip blokların 403 döndürdüğünü doğruluyor.
5 CDNyi bypass ederek origin testi yapın
İstek doğrudan origine yapıldığında hata kayboluyorsa sorun CDN WAF tarafındadır. AWS CloudFrontun resmi troubleshooting yaklaşımı da budur.
6 S3 R2 object storage policylerini kontrol edin
Özellikle şu alanlara bakın.
IAM izinleri.
bucket policy.
public access block.
object ACL.
presigned URL süresi.
CORS policy.
AWS ve Cloudflare R2 belgeleri yetersiz izinlerin ve hatalı yapılandırmanın 403e yol açtığını açıkça gösteriyor.
7 CORSu doğru yapılandırın
Frontend başka originden veri çekiyorsa.
Access Control Allow Origin.
Access Control Allow Methods.
Access Control Allow Headers.
başlıkları doğru tanımlanmalı. S3 tarafında CORS yoksa 403 görülebilir.
403 ile 401 arasındaki fark
Bu fark çok önemlidir.
401 Unauthorized Doğru kimlik doğrulama eksiktir veya geçersizdir.
403 Forbidden Kimlik bilinse bile erişim izni yoktur.
MDN bu ayrımı açık şekilde yapar. 401 genellikle uygun kimlik bilgileriyle çözülebilirken 403 çoğu zaman yetki politikasının değiştirilmesini gerektirir.
WordPresste 403 hatası neden olur
WordPress tarafında 403 genelde şu nedenlerle çıkar.
güvenlik eklentisinin IP bloklaması.
bozuk htaccess.
yanlış dosya izinleri.
CDN WAF kuralı.
hotlink koruması.
REST API veya admin ajax erişim kısıtı.
Modern WordPress kurulumlarında özellikle CDN güvenlik eklentisi hosting firewall kombinasyonu 403ün en sık kaynağıdır. Bu Cloudflare WAF belgelerindeki 403 senaryolarıyla da uyumludur.
APIde 403 hatası neden olur
API tarafında 403 çoğunlukla şu anlama gelir.
token geçerli ama scope yetersiz.
role permission eksik.
IP allowlist dışında istek atılıyor.
origin referrer kuralı ihlal ediliyor.
rate limit veya security rule tetikleniyor.
imzalı URL süresi dolmuş.
Cloudflare R2 ve AWS belgeleri insufficient permissions ve benzeri erişim problemlerinin 403 ile sonuçlanabildiğini doğruluyor.
2026da 403 hatasında en çok görülen yeni eğilimler.
2026 itibarıyla 403ün en sık görüldüğü alanlar şunlar.
WAF ve bot koruması kaynaklı yanlış pozitifler.
CDN ile origin izin uyuşmazlıkları.
Object storage policy hataları.
CORS ile yetki problemlerinin karıştırılması.
VPN proxy trafiğinin güvenlik katmanında bloklanması.
403 hatası alıyorsanız şu sırayla ilerleyin
1 URL doğru mu kontrol edin.
2 Oturum çerez ve cachei temizleyin.
3 VPN proxy kapatın.
4 Başka ağdan deneyin.
5 Sunucu loglarını inceleyin.
6 Dosya ve klasör izinlerini doğrulayın.
7 htaccess Nginx firewall ve WAF kurallarını test edin.
8 CDNyi bypass edip origin testi yapın.
9 S3 R2 IAM CORS policylerini kontrol edin.
10 Gerekirse erişim rolü veya policyyi yeniden düzenleyin.
403 Forbidden sunucu çalışıyor ama sana bu kaynağı vermiyorum hatasıdır. 2026da bu sorunun en yaygın sebepleri klasik dosya izinlerinin yanında artık WAF CDN IP ülke blokları IAM bucket policy ve CORS yapılandırmaları oldu. Sorunu hızlı çözmek için önce hatanın origin CDN ya da güvenlik katmanı tarafından mı üretildiğini ayırmak gerekir.