Jak zabezpieczyć domową sieć WiFi –
10 prostych kroków

Router to brama do całej Twojej sieci – wszystkich urządzeń, plików i połączeń. Domyślne ustawienia, z jakimi sprzęt wychodzi z pudełka, są wygodne dla producenta, ale niekoniecznie bezpieczne dla Ciebie. Dobra wiadomość: większość zmian zajmuje dosłownie kilka minut i nie wymaga żadnej wiedzy technicznej.

1. Zmień domyślne hasło do panelu routera

To najważniejszy krok. Domyślne hasła są publicznie znane i każdy, kto dostanie się do Twojej sieci, może zalogować się do panelu jednym googlem.

Ustaw długie, losowe hasło i zapisz je w menedżerze haseł (Bitwarden, KeePass). Powinno mieć co najmniej 16 znaków – mieszanka liter, cyfr i znaków specjalnych.

2. Zaktualizuj firmware routera

Producenci regularnie łatają luki bezpieczeństwa, ale nikt nie robi tego automatycznie. Wejdź w ustawienia routera i sprawdź sekcję Aktualizacja oprogramowania (lub Firmware Update).

Rób to przynajmniej raz w roku. Jeśli producent przestał wydawać aktualizacje dla Twojego modelu, rozważ wymianę sprzętu lub instalację alternatywnego firmware (OpenWrt, DD-WRT).

3. Używaj szyfrowania WPA3 (lub WPA2)

W ustawieniach WiFi znajdziesz opcję wyboru protokołu szyfrowania. Wybierz WPA3 jeśli router go obsługuje, lub WPA2-AES jako minimum. Unikaj WPA, WEP i opcji "Open" – są złamane lub niezabezpieczone.

4. Ustaw silne hasło do WiFi

Hasło do sieci powinno mieć co najmniej 12–16 znaków. Unikaj oczywistych kombinacji takich jak adres, nazwisko czy data urodzin.

# Dobry przykład hasła WiFi (fraza, łatwa do zapamiętania):
Czerwony-Rower-42-Gora!

Frazy hasłowe są łatwe do wpisania na telefonie, a jednocześnie trudne do złamania atakiem słownikowym.

5. Wyłącz WPS

WPS (Wi-Fi Protected Setup) to funkcja umożliwiająca połączenie urządzenia przez naciśnięcie przycisku lub wpisanie 8-cyfrowego kodu PIN. Problem w tym, że ten PIN można złamać w kilka godzin metodą brute-force.

Wyłącz WPS w ustawieniach routera – nic nie stracisz, urządzenia podłączysz normalnie przez hasło WiFi.

6. Sieć gości dla odwiedzających (i IoT)

Większość nowoczesnych routerów pozwala tworzyć osobną sieć gości (Guest Network). Skonfiguruj ją dla:

• Odwiedzających – nie mają dostępu do Twoich urządzeń w sieci głównej
• Urządzeń IoT (smart TV, żarówki, odkurzacze) – odizolowane od komputerów

Sieć gości powinna mieć dostęp do internetu, ale bez dostępu do sieci lokalnej (opcja często nazywana "Client Isolation" lub "AP Isolation").

7. Zmień domyślną nazwę sieci (SSID)

Domyślna nazwa w stylu TP-Link_A4B2 lub NETGEAR52 zdradza producenta i model routera – ułatwiając atakującemu szukanie znanych luk dla danego sprzętu.

Zmień nazwę na cokolwiek neutralnego. Nie używaj imienia, nazwiska, adresu ani numeru mieszkania.

8. Wyłącz zdalne zarządzanie

Opcja Remote Management (lub Remote Access) pozwala logować się do panelu routera spoza domu przez internet. Jeśli jej nie potrzebujesz – wyłącz. To eliminuje całą klasę ataków z zewnątrz.

9. Sprawdź, co jest podłączone do sieci

W panelu routera znajdziesz listę podłączonych urządzeń (DHCP Clients lub Connected Devices). Przejrzyj ją i upewnij się, że rozpoznajesz każde z nich. Nieznane urządzenie to sygnał, że ktoś może korzystać z Twojej sieci.

10. Rozważ DNS-over-HTTPS (DoH)

Standardowe zapytania DNS są nieszyfrowane – dostawca internetu widzi, jakie strony odwiedzasz. DNS-over-HTTPS szyfruje te zapytania.

Możesz skonfigurować DoH bezpośrednio w routerze (jeśli obsługuje) lub w systemie operacyjnym. Popularne serwery DNS z DoH:

• Cloudflare: 1.1.1.1 – szybki, prywatny
• Quad9: 9.9.9.9 – blokuje znane złośliwe domeny
• NextDNS: konfigurowalne filtrowanie i logi

Podsumowanie

Żaden z tych kroków nie zajmie Ci więcej niż kilka minut, a razem znacząco podnoszą poprzeczkę dla potencjalnych atakujących. Zasada jest prosta: im więcej warstw zabezpieczeń, tym mniej atrakcyjny cel.

Jeśli masz wątpliwości co do konfiguracji swojego routera lub chcesz przeprowadzić pełny audyt bezpieczeństwa sieci domowej lub firmowej – chętnie pomogę.