Wi-Fi router je hned od začátku přístupný z celého internetu. Nastavení je třeba upravit a zavřít hackerům „vrátka“

FBI letos varovala před malwarem, který aktivně skenuje domácí routery s otevřenou správou z internetu a mění je v nástroje kyberzločinců.

Zdroj fotografie: Pexels

Představte si, že máte doma dveře, které jdou otevřít nejen zevnitř, ale i zvenku klíčem, který si může kdokoli vyrobit. Přesně tak může fungovat Wi-Fi router s povolenou vzdálenou správou přes internet. Administrační rozhraní, které běžně otevíráte na adrese typu 192.168.1.1 z domácí sítě, může být při špatném nastavení dostupné i z veřejné IP adresy vašeho připojení. Stačí, aby útočník zjistil vaši WAN IP a správný port, a pokusí se zobrazit přihlašovací stránku routeru. Pokud je heslo výchozí nebo firmware zastaralý, může jít o otázku minut.

Jak je možné, že je router přístupný z internetu

Každý router má dvě tváře. Jednu lokální – tu vidíte, když jste připojeni k domácí Wi-Fi a otevíráte administraci. Druhou veřejnou – IP adresu, pod kterou vaše domácí síť vystupuje na internetu. Když je zapnutá funkce vzdálené správy (Remote Management, Web Access from WAN nebo česky Vzdálená správa), router začne naslouchat na vybraném portu i z vnější strany. TP-Link ve svých manuálech uvádí, že po aktivaci je administrace dostupná ve tvaru WAN_IP:port. D-Link často používá port 8080, Linksys umožňuje přístup přes veřejnou IP nebo dynamickou DNS adresu.

Důležité je rozlišit dvě různé věci. Webová administrace z WAN je skutečně veřejně dostupné přihlášení, ke kterému se může teoreticky dostat kdokoli. Vedle toho existuje operátorská vzdálená správa typu TR-069 nebo aplikace jako Wi-Fi Manager od T-Mobile. Ta slouží poskytovateli k diagnostice, aktualizacím a správě zařízení a funguje přes zabezpečený kanál k ACS serveru. Není to totéž jako veřejně otevřená přihlašovací stránka routeru.

Férově je třeba dodat: ne každý router má webovou správu z internetu zapnutou ve výchozím stavu. TP-Link i NETGEAR uvádějí, že u běžných domácích modelů je Remote Management standardně vypnutý. O2 u Smart Boxu deklaruje, že zařízení je z výroby nastaveno tak, aby chránilo síť před neoprávněným přístupem zvenčí. Riziko ale vzniká u starších zařízení, specifických konfigurací nebo tam, kde uživatel vzdálenou správu sám aktivoval a zapomněl na ni.

Jak vypadají zadní vrátka v praxi

Otevřený management port je pro útočníka jako neonový nápis „vstup volný“. Automatizované nástroje neustále skenují internet a hledají právě takto exponovaná zařízení. FBI v květnu 2025 popsala malware TheMoon, který dokáže zneužívat zranitelné routery a skenuje otevřené porty i bez znalosti hesla – využívá slabiny ve firmware. V březnu 2026 se objevil také malware AVrecon, který z napadených domácích routerů vytvářel rezidenční proxy sítě. Útočníci přes ně maskovali svůj provoz, otevírali vzdálené shelly a stahovali další škodlivý kód.

Co konkrétně může útočník s vaším routerem dělat:

• Změnit DNS – tiše přesměruje váš provoz na podvržené stránky. Místo banky se můžete dostat na falešnou kopii. Přesně tak fungoval DNSChanger, který cílil na routery se slabým zabezpečením nebo výchozími údaji.
• Otevřít další porty – vytvoří cestu k dalším zařízením ve vaší domácí síti.
• Využít váš router jako proxy – vaše domácí IP adresa může sloužit k maskování kriminální aktivity.
• Přesměrovat provoz všech připojených zařízení – FBI v operaci Masquerade popsal scénář, kdy telefony i notebooky v domácnosti komunikovaly přes infrastrukturu útočníka bez vědomí uživatele.

Rozhodující přitom není cena routeru. FBI u AVrecon dokumentovala zásahy u zařízení desítek modelů od Cisco, D-Link, MikroTik, Netgear, TP-Link a Zyxel. Drahý router bez aktualizací je z pohledu internetu stejně zranitelný jako levný.

Kde to najdete a co přesně vypnout

Každý výrobce pojmenovává tuto funkci trochu jinak, ale princip je stejný: jde o možnost přístupu k administraci routeru z vnější sítě.

Značka	Kde hledat	Název položky
TP-Link	Zabezpečení / Vzdálená správa	Vzdálená správa → Zakázat
ASUS	Administrace → Systém	Přístup k webu z WAN / vzdálený přístup
NETGEAR	Pokročilé nastavení	Remote Management
D-Link	Správa → Systémový administrátor	Vzdálená správa
Linksys	Konfigurace → Administrace	Správa přes internet
Zyxel (Vodafone)	Správa zařízení → Vzdálená správa	Důvěryhodné adresy / whitelist
O2 Smart Box	WEB GUI → pokročilá nastavení	WAN přístup / vzdálená správa

U routerů Zyxel dodávaných některými operátory je zásadní detail: pokud není seznam povolených adres (whitelist) vyplněn, manuál uvádí, že může být přístup k některým službám z WAN otevřený širšímu spektru IP adres, než uživatel očekává. Prázdná konfigurace tedy neznamená „nikdo“, ale potenciálně „kdokoli podle nastavení služby“.

Vypnutí vzdálené správy je první krok, ale ne jediný. Podle doporučení americké FTC by měl základní postup vypadat takto:

• Vypnout vzdálenou správu – zakázat přístup k administraci z WAN.
• Změnit administrátorské heslo – výchozí přihlašovací údaje typu admin/admin jsou první věc, kterou útočník zkouší.
• Aktualizovat firmware – ověřit, zda výrobce stále poskytuje bezpečnostní aktualizace.
• Vypnout WPS – funkce pro snadné párování zařízení má známé slabiny.
• Zvážit vypnutí UPnP – automatické otevírání portů může vytvořit další rizikové cesty.

Jak si ověříte, zda je váš router zranitelný

Test je jednoduchý. Přihlaste se do routeru z domácí sítě a zjistěte, zda je vzdálená správa zapnutá a na jakém portu. Poté si poznamenejte veřejnou WAN IP adresu, kterou najdete ve stavových informacích routeru. Vypněte Wi-Fi na telefonu, přepněte na mobilní data a do prohlížeče zadejte http://vaše_WAN_IP:port. Pokud se zobrazí přihlašovací stránka routeru, je administrace dostupná z internetu.

U O2 platí, že bez veřejné IPv4 adresy (ta je často doplňkovou službou) není přímý vzdálený přístup možný, ale to neznamená, že je zařízení automaticky bezpečné – mohou existovat jiné cesty nebo konfigurace.

Pokud máte podezření na kompromitaci, zkontrolujte DNS nastavení – neměly by tam být neznámé nebo cizí adresy. Podívejte se do logů (u NETGEAR například v ADVANCED > Administration > Logs). Sledujte neobvyklé přehřívání, výpadky připojení nebo změny konfigurace, které jste neprovedli. Při podezření pomůže změna hesla, restart a v krajním případě tovární reset.

Operátor versus vy: kdo má nad routerem kontrolu

U routerů od českých operátorů je situace specifická. O2 umožňuje přístup do pokročilých nastavení Smart Boxu přes webové rozhraní s jednorázovým heslem z aplikace. Vodafone nabízí lokální administraci přes adresu vodafone.station. T-Mobile řeší vzdálenou správu přes Wi-Fi Manager, ale pouze u vybraných modelů.

Operátorská správa přes TR-069 je jiná kategorie. Zyxel v manuálech pro operátory upozorňuje, že tento protokol umožňuje vzdálenou správu zařízení poskytovatelem – nejedná se o přístup z veřejného internetu, ale o komunikaci mezi routerem a správním serverem operátora. Není to totéž jako otevřená webová administrace dostupná komukoli.

Základní i část pokročilých nastavení si u většiny operátorů můžete upravit sami. Pokud si ale nejste jistí, co která položka dělá, je lepší kontaktovat podporu – špatně nastavený firewall nebo NAT může způsobit víc problémů než výchozí konfigurace.

Nejslabším článkem není značka routeru ani jeho cena. Je to kombinace veřejné IP adresy, zapnuté vzdálené správy, zastaralého firmwaru a hesel, která nikdo nezměnil. Stačí odstranit jednu z těchto slabin – a „vrátka“ se zavřou.