Algumas dicas que podem te ajudar a evitar ou parar ataques de força bruta no Magento 1 e 2.
O que é um ataque de força bruta?
Todo sistema de acesso restrito é acessível através do conjunto nome de usuário / senha e um ataque de força bruta significa tentar adivinhar o conjunto por meio de inumeras tentativa e erro.
Os ataques de força bruta estão se tornando muito comuns nos dias de hoje.
A maioria dos sites por padrão estão vulnerareis a tais tipos de ataques.
Se você utiliza a plataforma Magento 1, há por padrão, alguns diretórios localizados em /admin e /downloader que podem ser explorados e atacados de várias maneiras. Por serem caminhos padrões do Magento, os hackers podem facilmente encontrá-los e lançar um ataque de força bruta.
Em tal ataque, as senhas aleatórias são testadas automaticamente, até que uma seja bem sucedida.
Já falando especificamente sobre o Magento 2, temos importantes melhorias na questão de segurança, porém todos os sistemas estão sujeitos a ataques, mesmo os protegidos por avançados sistemas de captcha, como: O novo captcha da Google
Para alterar o caminho para o painel administrativo, siga as instruções de acordo com a versão do Magento utilizada.
Edite o arquivo /app/etc/local.xml (XML: admin -> routers -> adminhml -> args -> frontName).
Você verá o seguinte valor: <![CDATA[admin]]>, altere apenas o “admin” para o novo caminho desejado, ex: “gere060708”.
Agora atualize o cache do Magento: Sistema -> Gerenciamento de Cache -> Liberar Cache do Magento
Este passo não é necessário, pois o Magento 2 gera um caminho aleatório para backend durante a instalação.
Captcha é a melhor solução contra ataques de força bruta no Magento 1 e 2.
O que é um Captcha?
CAPTCHA é um acrônimo da expressão “Completely Automated Public Turing test to tell Computers and Humans Apart” (teste de Turing público completamente automatizado para diferenciação entre computadores e humanos): um teste de desafio cognitivo, utilizado como ferramenta anti-spam
Magento 2
Habilitar o Captcha no Admin: Sim
Selecione em Formulários ambas as opções, salve e atualize o Cache.
Magento 1
Acesse: Sistema > Configurações > Avançado > Admin
Habilitar o Captcha no Admin: Sim
Selecione em Formulários ambas as opções, salve e atualize o Cache.
Tutorial completo de como habilitar captcha Magento 1
Habilitar captcha no formulario de Contato no Magento
Muitas lojas utilizam como principal usuário administrativo da loja, o usuário admin.
Este é um problema de segurança para a sua loja Magento.
Recomendamos que você altere o usuário da conta do administrador para um nome pessoal, seu apelido ou seu endereço de e-mail.
Uma das formas mais simples e eficaz de evitar ataques de força bruta no Magento é com a utilização de senhas fortes nas contas dos usuários administrativos da loja.
O que uma senha forte DEVE ter:
O que uma senha forte NÂO deve ter:
Quanto mais forte for a senha, menores serão as chances dela ser acertada por um ataque de força bruta.
Utilize esta ferramenta para gerar senhas fortes e seguras: Gerador de senhas seguras
Magento 1
Edite o arquivo: downloader/.htaccess
Adicione no final do arquivo a seguinte instrução:
order deny,allow deny from all allow from x.x.x.x
Altere o valor de x.x.x.x para o seu IP.
Constantemente o Magento está sendo atualizado.
Muitas dessas atualizações trazem melhorias na parte de segurança e correções de falhas que foram encontradas
Mantenha a sua loja atualiza acompanhando os lançamentos de “patchs” neste link: https://magento.com/tech-resources/download
Vários fatores influenciam no sucesso de um ataque desse tipo.
A sua loja pode estar sofrendo uma ataque, porém a probabilidade dele ser bem sucedido, por exemplo, devido a complexidade da senha torna o ataque inútil, por isso não se desespere.
É muito Importante que você sempre mantenha a sua plataforma atualizada e esteja analisando periodicamente os logs de acesso do seu servidor.
Conheça mais sobre ataques de força bruta acessando: Ataque de Força Bruta, proteja seu Site, Loja ou Blog!
Módulo gratuito Roger_CnpjAlfanumerico que aplica máscara e validação do novo CNPJ alfanumérico no checkout e formulários do Magento 2 e…
A partir de 06/07/2026 a Receita passa a emitir CNPJ alfanumérico. Conheça o plugin grátis que aplica máscara e validação…
Para remover um módulo do Magento 2, siga os passos abaixo: 1. Desabilitar o módulo Primeiro, desabilite o módulo usando…
Para cancelar 100% do pedido e criar um crédito para todos os itens através da API REST do Magento 2,…
No Magento 2, a quantidade "reservada" na "Salable Quantity" é gerenciada principalmente pelos módulos MSI (Multi-Source Inventory). A "Salable Quantity"…
Como corrigir o erro ao acessar o Admin do Magento 2. Mesmo após fazer o login, permanece na tela de…
Ver comentários
Olá, como faço para recuperar uma instalação comprometida? Você pode me auxiliar? suporte da empresa que hospeda a minha loja aconselhou que eu instalase a nova versão do Magento, o problema é que não gostaria de perder o cadastro de produtos e clientes que já estão da loja, desde ja muito obrigado!