一位安全研究人员最近在许多D-Link路由器中发现了一个后门，允许任何人在不知道用户名或密码的情况下访问路由器。这不是第一个路由器安全问题，也不会是最后一个。

为了保护您自己，您应该确保路由器配置安全。这不仅仅是启用Wi-Fi加密，而不是托管一个开放的Wi-Fi网络。

禁用远程访问

路由器提供了一个web界面，允许您通过浏览器进行配置。路由器运行一个web服务器，当您在路由器的本地网络上时，可以使用此网页。

但是，大多数路由器都提供“远程访问”功能，允许您从世界任何地方访问此web界面。即使您设置了用户名和密码，如果您的D-Link路由器受此漏洞影响，任何人都可以在没有任何凭据的情况下登录。如果您禁用了远程访问，您将不会受到远程访问您的路由器和篡改它的人的攻击。

为此，请打开路由器的web界面并查找“远程访问”、“远程管理”或“远程管理”功能。确保它被禁用-它应该在大多数路由器上默认禁用，但最好检查一下。

更新固件

就像我们的操作系统、网络浏览器和我们使用的其他软件一样，路由器软件并不完美。路由器的固件（本质上是在路由器上运行的软件）可能存在安全缺陷。路由器**商可能会发布固件更新来修复这些安全漏洞，不过他们很快就会停止对大多数路由器的支持，转而使用下一代机型。

不幸的是，大多数路由器没有像Windows和我们的web浏览器那样的自动更新功能-你必须检查路由器**商的网站上的固件更新，并通过路由器的web界面手动安装。检查以确保您的路由器安装了最新的可用固件。

更改默认登录凭据

许多路由器都有相当明显的默认登录凭据，例如密码“admin”。如果有人通过某种漏洞或仅仅通过登录到您的Wi-Fi网络来访问您的路由器的web界面，则很容易登录并篡改路由器的设置。

要避免这种情况，请将路由器的密码更改为攻击者无法轻易猜到的非默认密码。有些路由器甚至允许您更改用于登录路由器的用户名。

锁定wi-fi接入

相关：不要有错误的安全感：5种不安全的方式来保护你的Wi-Fi

如果有人获得了你的Wi-Fi网络的访问权，他们可能会试图篡改你的路由器——或者只是做其他坏事，比如窥探你的本地文件共享，或者使用你的连接下载受版权保护的内容，并让你陷入麻烦。运行开放式Wi-Fi网络可能会很危险。

为了防止这种情况，请确保路由器的Wi-Fi安全。这很简单：将其设置为使用WPA2加密并使用一个合理安全的密码短语。不要使用弱WEP加密，也不要设置像“密码”这样的明显密码短语。

禁用upnp

关联：UPnP是否存在安全风险？

在消费者路由器中发现了各种UPnP缺陷。数以万计的消费者路由器响应来自互联网的UPnP请求，允许Internet上的攻击者远程配置路由器。浏览器中的Flash小程序可以使用UPnP打开端口，从而使计算机更易受攻击。UPnP由于各种原因而相当不安全。

要避免基于UPnP的问题，请通过路由器的web界面在路由器上禁用UPnP。如果您使用需要转发端口的软件（如BitTorrent客户端、游戏服务器或通信程序），则必须转发路由器上的端口，而不依赖UPnP。

完成配置后，从路由器的web界面注销

在一些路由器中发现了跨站点脚本（XSS）缺陷。具有此类XSS缺陷的路由器可能由恶意网页控制，从而允许该网页在您登录时配置设置。如果您的路由器使用其默认用户名和密码，则恶意网页很容易获得访问权限。

即使您更改了路由器的密码，从理论上讲，网站也可以使用您登录的会话访问路由器并修改其设置。

为了防止这种情况，只需在配置完路由器后从路由器中注销即可-如果无法做到这一点，您可能需要清除浏览器cookies。这不是什么太偏执的事情，但注销你的路由器时，你用它是一个快速而简单的事情。

更改路由器的本地ip地址

如果你真的很偏执，你可以改变你的路由器的本地IP地址。例如，如果其默认地址为192.168.0.1，则可以将其更改为192.168.0.150。如果路由器本身易受攻击，并且web浏览器中的某种恶意脚本试图利用跨站点脚本漏洞进行攻击，访问位于其本地IP地址的已知易受攻击路由器并对其进行篡改，则攻击将失败。

这一步并不是完全必要的，特别是因为它不能抵御本地攻击者-如果有人在你的网络上或软件在你的电脑上运行，他们将能够确定你的路由器的IP地址并连接到它。

安装第三方固件

如果你真的担心安全性，你也可以安装第三方固件，如DD-WRT或OpenWRT。在这些替代固件中，你不会发现路由器**商添加的晦涩难懂的后门。

消费路由器正在形成一个完美的风暴的安全问题-他们不自动更新新的安全补丁，他们直接连接到互联网，**商很快停止支持他们，许多消费路由器似乎充满了坏代码，导致UPnP利用和容易利用后门。采取一些基本的预防措施是明智的。

图片来源：Flickr上的Nuscreen