家里Wi-Fi经常被邻居蹭网?手机连上自家WiFi后总弹出奇怪广告?后台设备列表里冒出不认识的IP?这些信号都在提醒你:路由器可能早被悄悄‘开门’了。
改掉默认登录名和密码
很多人的路由器还在用 admin/admin、admin/123456 这类出厂设置。攻击者只要搜一下型号,就能查到默认凭证。登录路由器后台(通常是 192.168.1.1 或 192.168.0.1),找到「系统工具」→「管理员密码」,设一个真正难猜的组合:比如「WuFang2024#Router」,别用生日、手机号或连续数字。
关闭远程管理功能
这个功能本意是方便在外网调试设备,但绝大多数家庭用户根本用不上。一旦开启,等于把路由器管理界面直接暴露在公网。进后台找「远程管理」或「Web管理」选项,把「启用远程Web管理」的勾去掉。保存后,再用手机4G网络访问你的公网IP,应该打不开登录页了。
禁用WPS一键连接
WPS看着方便,实际存在PIN码暴力破解漏洞。黑客用一台树莓派跑几小时,就能拿到你的Wi-Fi密码。在「无线设置」→「WPS设置」里,直接选「禁用」。关掉之后,手机连网多点两下——但换来的是实实在在的安全提升。
改掉默认SSID并隐藏它(可选)
SSID就是你Wi-Fi的名字。别叫「TP-LINK_XXXX」或「ChinaNet-XXX」,换成像「老张家阳台信号」这种无规律又不带厂商信息的名字。更进一步,可以勾选「隐藏无线网络(SSID广播)」。虽然不能彻底防住专业扫描,但能过滤掉大部分随手乱连的设备。
手动分配IP+绑定MAC地址
如果你家设备固定(比如三台手机、一台笔记本、一台智能音箱),可以在「DHCP服务器」里关闭自动分配,改用手动IP池(如 192.168.1.100 到 192.168.1.150),再进「ARP绑定」或「静态地址分配」,把每台设备的MAC地址和指定IP一对一写死。这样就算有人蹭网,也拿不到内网IP,无法访问NAS或打印机等本地服务。
固件升级别偷懒
翻出路由器底部标签,查清型号和当前固件版本。去官网下载最新版(别信第三方所谓“增强版”固件),上传更新。有些老型号官网已停止支持,那就该换新了——不是所有安全问题都能靠手动补救。