Prestashop не виноват. Это ваша вина, что база с адресами клиентов попала в чужие руки. Чтобы запросить восстаровление пароля, нужно знать email клиента. Вопрос, как узнали адреса ваших клиентов? Вот когда ответите на него, тогда и сможете защитить сайт. Менять движок бесполезно, если будите терять свою базу смена движка вам не поможет.
Нужно защитить сайт. Есть модуль для защиты формы запроса пароля. Модуль платный не входит в установочный пакет prestashop, на форуме встречал тему про этот модуль, поищите.
Запрос на смену пароля в 99% происходит с формы запроса пароля и 100% обращение к контроллеру PasswordController.php. Измение алгоритма работы этого класса защитит ваш сайт. Но это все будет бесполезно, пока вы не выясните как воруют данные ваших клиентов.