La sicurezza router Wi-Fi è una di quelle cose che molti ignorano fino al giorno in cui la rete rallenta, qualche dispositivo “strano” compare tra quelli collegati o il router inizia a lampeggiare come un albero di Natale con problemi emotivi. In casa e nei piccoli uffici il router è spesso il punto più dimenticato dell’infrastruttura, ma anche uno dei più importanti: da lì passano computer, smartphone, stampanti, NAS, telecamere, domotica e tutto il resto della compagnia.
Il problema è semplice: il router viene installato, configurato al volo e poi abbandonato lì, sopra una mensola, vicino al modem, dietro una stampante o in qualche angolo polveroso. Finché internet funziona, nessuno lo tocca. Peccato che molte impostazioni predefinite non siano sempre ideali per la sicurezza.
Vediamo quindi quali impostazioni controllare subito, senza trasformare la casa o l’ufficio in un laboratorio NASA.
1. Cambiare la password di amministrazione del router
La prima cosa da controllare non è la password del Wi-Fi, ma la password per entrare nel pannello di gestione del router.
Parliamo dell’accesso a indirizzi tipo:
192.168.1.1
192.168.0.1
fritz.box
router.asus.com
tplinkwifi.net
Molti router moderni obbligano a cambiare la password al primo avvio, ma non sempre succede. In altri casi la password viene impostata dal tecnico, dall’operatore o dal negoziante, e poi nessuno sa più quale sia.
Una password admin debole o lasciata di default è un problema serio, perché chi accede al pannello può modificare DNS, porte, regole firewall, Wi-Fi, accesso remoto e aggiornamenti.
La password del router deve essere:
- diversa da quella del Wi-Fi;
- lunga;
- non ovvia;
- salvata in un password manager;
- conosciuta solo da chi deve realmente gestire la rete.
In un ufficio, questa password non dovrebbe essere scritta su un post-it attaccato sotto il router. Lo so, sembra incredibile doverlo dire nel 2026, ma evidentemente l’umanità ama le sfide.
2. Usare WPA2 o WPA3, non vecchi standard
Nelle impostazioni Wi-Fi bisogna controllare il tipo di protezione usata dalla rete.
Le opzioni da preferire sono:
- WPA3-Personal, se tutti i dispositivi lo supportano;
- WPA2/WPA3 mixed mode, se ci sono dispositivi recenti e qualche dispositivo più vecchio;
- WPA2-Personal AES, se WPA3 non è disponibile.
Da evitare invece:
- WEP;
- WPA vecchio;
- WPA/WPA2 con TKIP;
- reti Wi-Fi senza password.
Wired consiglia almeno WPA2 per proteggere l’accesso alla rete wireless, mentre WPA3 offre miglioramenti più moderni, anche se la compatibilità dipende dai dispositivi collegati.
Attenzione però: WPA3 non è magia. Una ricerca pubblicata su arXiv ha evidenziato che password Wi-Fi scelte male possono ridurre molto la sicurezza, soprattutto con WPA2 e modalità WPA3-Personal Transition. Nello studio, il 16% delle password analizzate mostrava comportamenti prevedibili, come password troppo semplici o lasciate di default.
Traduzione semplice: anche se il router ha WPA2 o WPA3, se la password è “12345678”, “passwordwifi” o il numero di telefono del negozio, il problema non è il protocollo. È la fantasia.
3. Cambiare la password del Wi-Fi
La password della rete Wi-Fi deve essere robusta, ma anche gestibile.
Una buona password Wi-Fi dovrebbe essere lunga almeno 14-16 caratteri e contenere parole non banali, numeri e simboli. Non deve essere il nome del cane, il nome dell’azienda, il cognome del titolare o “ufficio2026”.
Esempi da evitare:
StudioRossi2026
PasswordWifi
Gieffe12345
nomeazienda2026
internet123
Meglio usare una frase lunga, meno prevedibile e più difficile da indovinare.
In casa va cambiata se è ancora quella stampata sull’etichetta del router da dieci anni. In ufficio va cambiata quando:
- un dipendente lascia l’azienda;
- è stata data a fornitori, clienti o tecnici esterni;
- è stata condivisa troppe volte;
- non si sa più chi la conosce;
- è ancora quella impostata dall’operatore.
Il Wi-Fi aziendale non dovrebbe essere una password tramandata oralmente come una leggenda medievale.
4. Disattivare WPS
Il WPS, Wi-Fi Protected Setup, è quella funzione che permette di collegare dispositivi premendo un pulsante sul router o inserendo un PIN.
È nato per semplificare la connessione. Peccato che, come spesso accade, la comodità e la sicurezza non sempre vadano insieme a braccetto.
Se non serve, il WPS va disattivato.
In particolare è meglio controllare che sia disabilitato il collegamento tramite PIN WPS, storicamente più problematico. Il pulsante fisico è meno rischioso, ma in molti ambienti non è comunque necessario.
Per casa e piccoli uffici la regola è semplice: se tutti i dispositivi sono già collegati, il WPS può stare spento.
5. Aggiornare il firmware del router
Il router è un piccolo computer. Ha un sistema operativo, servizi attivi, bug e vulnerabilità. Quindi va aggiornato.
CISA raccomanda di controllare gli aggiornamenti firmware del router, perché gli update correggono vulnerabilità note e migliorano la sicurezza del dispositivo. Alcuni router permettono anche di attivare gli aggiornamenti automatici.
Bisogna cercare nel pannello voci come:
- Firmware Update;
- Aggiornamento software;
- Sistema;
- Manutenzione;
- Administration;
- Router Update.
Su router forniti dagli operatori telefonici gli aggiornamenti spesso vengono gestiti automaticamente. Su router acquistati separatamente, invece, può essere necessario entrare nel pannello e verificare manualmente.
In un piccolo ufficio conviene segnarsi marca, modello e versione firmware del router. Non serve un documento da 400 pagine: basta sapere cosa si ha installato. Perché “abbiamo un router nero con le antenne” non è un inventario tecnico. È una descrizione da denuncia smarrimento.
6. Creare una rete ospiti
La rete ospiti è una delle funzioni più utili e più ignorate.
Serve per far collegare clienti, amici, fornitori o dispositivi temporanei senza dare accesso alla rete principale.
In casa può essere utile per separare dispositivi personali da ospiti e dispositivi smart. In ufficio è quasi obbligatoria se si vuole evitare che chi passa per una riunione si trovi sulla stessa rete di PC, stampanti, NAS o server.
La rete ospiti dovrebbe avere:
- nome diverso dalla rete principale;
- password diversa;
- isolamento dalla LAN interna;
- limite di accesso solo a internet;
- eventuale spegnimento automatico, se supportato.
Molti router hanno un’opzione chiamata “Accesso alla rete locale”, “Consenti accesso alla LAN” o simile. Per gli ospiti, questa opzione dovrebbe essere disattivata.
L’idea è semplice: l’ospite deve navigare, non vedere la stampante dell’amministrazione o il NAS con le fatture.
7. Disattivare l’accesso remoto al router
Alcuni router permettono di essere gestiti da fuori casa o fuori ufficio. È comodo, ma anche delicato.
Se non serve davvero, l’accesso remoto va disattivato.
Wired consiglia di disabilitare funzioni come accesso remoto, UPnP e WPS quando non necessarie, perché riducono la superficie di attacco del router.
Anche il portale australiano Cyber.gov.au raccomanda di disattivare la gestione remota del router e cita protocolli come Telnet, SSH e SNMP tra quelli da chiudere se non servono.
In pratica, nel pannello del router bisogna cercare voci come:
- Remote Management;
- Accesso remoto;
- Web access from WAN;
- Administration from Internet;
- Telnet;
- SSH;
- SNMP.
Per un utente domestico quasi sempre devono essere disattivate. Per un ufficio possono servire solo se gestite consapevolmente, possibilmente tramite VPN e non esposte direttamente su internet.
8. Controllare UPnP
UPnP, Universal Plug and Play, permette ad alcuni dispositivi e programmi di aprire porte automaticamente sul router.
È comodo per console, videocamere, applicazioni peer-to-peer e alcuni servizi multimediali. Però può diventare un problema se un dispositivo compromesso o un software poco affidabile apre porte senza che nessuno se ne accorga.
In casa si può valutare caso per caso. In ufficio, di solito, meglio disattivarlo e aprire solo le porte realmente necessarie.
La domanda da farsi è semplice: mi serve davvero che qualunque dispositivo in rete possa chiedere al router di aprire porte verso internet?
Se la risposta è “non lo so”, probabilmente è meglio spegnerlo e vedere se qualcosa smette di funzionare. Metodo brutale, ma spesso educativo.
9. Controllare i DNS
I DNS traducono i nomi dei siti in indirizzi IP. Quando scriviamo gieffe.net, il DNS aiuta il dispositivo a capire dove andare.
Sul router i DNS possono essere:
- quelli dell’operatore;
- quelli di Google;
- quelli di Cloudflare;
- quelli di Quad9;
- quelli di un servizio con filtro sicurezza;
- quelli interni aziendali, se presenti.
Controllarli è importante per due motivi.
Il primo è la privacy e la qualità della navigazione. Il secondo è la sicurezza: se qualcuno modifica i DNS del router, può provare a mandare gli utenti verso siti falsi o servizi malevoli.
In un piccolo ufficio conviene verificare che i DNS siano quelli scelti consapevolmente e non valori strani impostati chissà quando.
Alcuni servizi DNS offrono anche blocco di domini malevoli o contenuti indesiderati. Non sostituiscono un antivirus, un firewall o il buon senso, ma possono aggiungere un livello di protezione.
10. Separare dispositivi smart e dispositivi importanti
Telecamere, lampadine smart, prese Wi-Fi, assistenti vocali, termostati e dispositivi IoT sono comodi, ma spesso non brillano per trasparenza, aggiornamenti e sicurezza.
In casa possono stare su una rete separata o sulla rete ospiti, se il router lo permette. In ufficio è ancora più importante: dispositivi IoT, videosorveglianza, stampanti e PC amministrativi non dovrebbero stare tutti nello stesso calderone.
La separazione può essere fatta con:
- rete ospiti;
- VLAN;
- SSID separati;
- firewall interno;
- router o access point professionali.
Per una casa basta spesso una rete ospiti ben configurata. Per un ufficio, meglio ragionare in modo più strutturato.
11. Controllare i dispositivi collegati
Ogni tanto bisogna aprire il pannello del router e guardare l’elenco dei dispositivi connessi.
Si possono trovare:
- smartphone;
- PC;
- stampanti;
- TV;
- console;
- telecamere;
- dispositivi sconosciuti;
- vecchi apparati dimenticati;
- nomi incomprensibili tipo
android-3f92a8.
Non sempre un nome strano indica un intruso. A volte è solo un dispositivo legittimo con un nome orrendo, perché evidentemente anche i produttori hanno il senso estetico di una lavatrice.
Però è utile fare pulizia:
- rinominare i dispositivi conosciuti;
- rimuovere quelli vecchi;
- controllare gli sconosciuti;
- cambiare password Wi-Fi se ci sono dubbi.
In ufficio sarebbe buona pratica avere un elenco minimo dei dispositivi autorizzati. Non serve impazzire, ma almeno sapere cosa è collegato alla rete.
12. Spegnere reti Wi-Fi inutili
Molti router trasmettono più reti:
- 2.4 GHz;
- 5 GHz;
- 6 GHz, sui modelli più recenti;
- rete ospiti;
- rete IoT;
- rete dell’operatore;
- hotspot pubblico dell’operatore.
Bisogna controllare che siano attive solo le reti necessarie.
Se una rete non serve, meglio disattivarla. Ogni rete in più è una configurazione in più da gestire, una password in più da ricordare e una possibile fonte di problemi.
Attenzione anche ai router degli operatori che attivano servizi hotspot condivisi. Non sono per forza un problema, ma è bene sapere se sono attivi.
13. Usare nomi rete sensati, ma non troppo descrittivi
Il nome della rete Wi-Fi, cioè l’SSID, non deve contenere troppe informazioni.
Esempi poco furbi:
StudioCommercialistaRossi
CasaMarioViaRoma12
UfficioAmministrazione
ServerInterno
Meglio nomi neutri, senza indirizzi, cognomi, reparti o riferimenti troppo chiari.
Non è necessario nascondere l’SSID: nella maggior parte dei casi non aggiunge vera sicurezza e può creare fastidi di connessione. Meglio avere un SSID visibile ma protetto bene, con password forte e impostazioni corrette.
14. Salvare le credenziali in modo ordinato
Quando si mette mano al router, bisogna documentare almeno:
- indirizzo di accesso;
- utente admin;
- password admin;
- nome rete Wi-Fi;
- password Wi-Fi;
- marca e modello;
- versione firmware;
- DNS impostati;
- eventuali porte aperte;
- eventuali regole speciali.
In casa può bastare un password manager. In ufficio è meglio avere una procedura interna.
Il router non deve dipendere dalla memoria dell’unico tecnico, del titolare o del cugino “che se ne intende”. Perché il giorno in cui serve davvero entrare nel pannello, quel cugino sarà ovviamente in ferie, senza campo, su un sentiero di montagna.
15. Fare attenzione ai router troppo vecchi
Un router vecchio può funzionare ancora, ma non essere più sicuro.
Segnali da non ignorare:
- firmware non aggiornato da anni;
- produttore che non rilascia più update;
- assenza di WPA3;
- interfaccia di gestione obsoleta;
- riavvii frequenti;
- Wi-Fi instabile;
- impossibilità di separare rete ospiti e rete principale;
- prestazioni insufficienti.
Non bisogna cambiare router ogni sei mesi, ma nemmeno tenere in produzione un dispositivo abbandonato dal produttore da dieci anni.
Per un ufficio, il router è infrastruttura. Non arredamento.
Checklist rapida per casa e piccolo ufficio
Ecco cosa controllare subito:
- Password admin del router cambiata e salvata.
- Password Wi-Fi robusta e diversa da quella admin.
- WPA2-AES o WPA3 attivo.
- WEP, WPA vecchio e TKIP disattivati.
- WPS disattivato.
- Firmware aggiornato.
- Accesso remoto spento, se non necessario.
- UPnP disattivato o almeno controllato.
- Rete ospiti attiva per visitatori e dispositivi temporanei.
- Ospiti isolati dalla rete interna.
- DNS verificati.
- Dispositivi collegati controllati.
- Reti Wi-Fi inutili disattivate.
- Credenziali documentate.
- Router troppo vecchi valutati per sostituzione.
Conclusione
La sicurezza del router Wi-Fi non richiede magie, certificazioni da hacker cinematografico o notti passate davanti a schermate nere con scritte verdi. Richiede soprattutto buon senso, qualche controllo periodico e la voglia di non lasciare tutto configurato “come l’ha messo qualcuno anni fa”.
Per casa e piccoli uffici, sistemare password, WPA2/WPA3, WPS, firmware, rete ospiti, accesso remoto, UPnP e DNS può ridurre molti rischi senza complicare la vita.
Il router è piccolo, silenzioso e spesso dimenticato. Ma è la porta d’ingresso della rete. E una porta d’ingresso, di solito, non si lascia aperta solo perché “tanto fino a ieri non è successo niente”.
