hetemlにPHPで作成したフォームを設置していた所、時々403 Forbiddenになってしまいました。
アクセス権かなと思っても特に問題がなく、プログラムの問題なら500 Internal Server Errorになるはずだし、403になる時とならない時がありナゼだろうと途方に暮れるところでした。

検索の結果hetemlで自動的にONになっているWAFが原因のようでした！

要するにフォームで送信する値にXSSやSQLインジェクションになるような文字列が含まれていると自動的に遮断する仕組みのようです。
これはhetemlと同じ系列のロリポップにも導入されているようですので、フォームやCMSでの投稿が403 Forbiddenになってしまう事があればWAFの線も一度疑ってみてください。

セキュリティの問題なのでOFFにすれば解決！
とは言いたくないので、必要に応じて.htaccessなどで除外するのが良さそうです。 ざっと調べてるとwordpressが管理画面から投稿できないとか大変そうですね... ロリポップ上のWordPressをWAFで防御する方法 | HASHコンサルティングオフィシャルブログ