He prohibido todos los Tors conocidos a nivel de servidor usando iptables. O también puedes usar el propio Nginx, o algún otro proxy inverso.
Usar cualquiera de esos delante de Discourse es una tarea realmente trivial. Pero Docker es el mayor signo de interrogación porque elude UFW/iptables de VPS de una manera que no puedo entender porque solo estoy subiendo esa curva de aprendizaje (en mis libros esa es la mayor preocupación de seguridad y de la que menos se habla).
Aquí hay algo sobre la cuestión del firewall:
Por supuesto, alguien puede crear un plugin que detenga una IP. No sé mucho, pero no entiendo por qué sería difícil; incluso WordPress puede hacerlo.
Pero también hay dos problemas, según lo veo:
- una aplicación comienza a hacer tareas que debería hacer el servidor
- una aplicación siempre llega tarde e incluso si detiene algo, el ataque al servidor ya ha ocurrido