Eu estou usando Adguard Home no raspberry e o configurei no DHCP do roteador. Nenhuma senha padrão. Eu me sinto relativamente seguro.
Sobre esses anúncios que tentavam reconfigurar o DNS usando anúncios, até cheguei a denunciar um ao Google e eles não aceitaram. Eles não iam fechar a torneira que estava enchendo o lago de dinheiro.
Boa, configuração AdGuard Home no Pi com DNS via DHCP do roteador já te coloca à frente de 95% dos usuários. Só uma observação: isso te protege contra resolução DNS maliciosa (bloqueio de domínios conhecidos), mas os ataques de reconfiguração DNS via anúncio que mencionei exploram o painel do roteador internamente (CSRF via JavaScript no ad creative). Ou seja, o vetor não é a resolução DNS em si é o anúncio que tenta acessar 192.168.0.1 e trocar o DNS antes do AdGuard entrar na jogada.
Se você já trocou a senha padrão do roteador, esse vetor específico fica muito mais difícil. Mas vale verificar se o painel do roteador exige autenticação para todas as alterações de configuração via POST, não só para login alguns modelos aceitam requests diretos sem sessão ativa.
Sobre o Google: experiência idêntica. O processo de denúncia é teatro. Enquanto o anunciante pagar, o incentivo estrutural é ignorar. É exatamente o ponto do artigo a responsabilidade não pode ficar com quem denuncia, precisa estar na infraestrutura