Os ataques de força bruta não são novidade e acontecem em todo o mundo. São ataques que tentam na base do erro e acerto descobrir o seu login e senha. É por isso que é tão importante mudar a URL Admin do seu Magento.

O problema é que diferente do /admin e do /downloader não é possível alterar o caminho do módulo rss. Por isso o recomendado para se proteger é desativar o módulo RSS.

Como desativar o módulo RSS no Magento

Nas versões anteriores à 1.9.3 esse processo deve ser feito manualmente, com o seguinte passo a passo (Atenção! Não faça alterações sem conversar com seu desenvolvedor):

Edite o arquivo Mage_All.xml alterando a seguinte diretiva para no bloco ” Mage_Rss”:

<active>false</active>

Depois dessa ação limpe o cache do seu Magento para que as alterações sejam ativadas.

Nas versões 1.9.3 em diante, esse modulo já vem desativado por padrão. Caso você queira conferir, ativar ou desativar, siga os passos abaixo:

1) Acesse o painel administrativo do seu Magento e vá até a aba “System” -> “Configuration“. Em seguida escolha a opção “RSS Feeds” no menu lateral.

Como desativar o módulo RSS no Magento - passo 1

2) Agora vá na opção “RSS Config“. Caso a opção estiver “Enabled“, clique e altere essa opção para “Disable”. Feito isso basta clicar em “Save Config“.

Como desativar o módulo RSS no Magento - passo 2

3) Agora será necessário limpar o cache do Magento para que as alterações sejam aplicadas. Vá até o menu superior e selecione “System” -> “Cache Management“. Em seguida clique em “Select all” -> “Submit”.

Como desativar o módulo RSS no Magento - passo 3

Verifique se você está seguro depois de fazer as alterações

Quando o seu domínio é acessado com o complemento /rss/order/new ele deve redirecionar para uma página de erro ou página não encontrada, se abrir uma tela com login e senha, você está desprotegido!

Caso você esteja usando o módulo RSS e não possa desativar, converse com seu provedor de hospedagem para solicitar o bloqueio por IP, isso vai limitar e proteger o acesso.

Uma forma de ter certeza de que todos os acessos à sua loja estão protegidos é usar a ferramenta Mage Report.

Lembre-se ainda de fazer um backup antes de começar qualquer atualização ou alteração e sempre usar senhas fortes, além de trocar a senha a cada 3 meses.