Wie funktioniert diese Ratenbegrenzung eigentlich (nein, ich habe nicht nach der Antwort gesucht). Greift sie nach einer bestimmten Anzahl von Anfragen in einem bestimmten Zeitraum pro IP-Adresse?
Jedenfalls, wenn eine DDoS-ähnliche Situation eintritt, zum Beispiel wenn eine URL in einer dummen Liste erwähnt wird, dann beginnt eine Flut von IPs aus China, Pakistan, Iran, Irak, Vietnam und Russland, plus viele von großen VPS-Diensten, hauptsächlich aus den USA, Frankreich und Deutschland. Wenn sie es dreimal versuchen und die IP wechseln, hilft die Ratenbegrenzung nicht allzu sehr.
Ich hatte irgendwann viele dumme Suchanfragen. Und viele bedeutet, dass ein 5-USD-Droplet von DigitalOcean abstürzte und ich fast keine Anfragen von Menschen hatte.
Das ist mehr oder weniger eine Angelegenheit des Webservers, nicht von Discourse. Diese Klopfer sollten vor einer App ausschalten. Ich weiß, dass meine Situation/Lösungen viel einfacher sind als die des OP oder der meisten Webmaster hier, weil ich aus Finnland komme und mein Forum rein Finnisch ist – daher ist ein weltweites Verbot für mich möglich (naja, Finnen außerhalb Finnlands sehen das anders 
).
Aber unabhängig von der Ratenbegrenzung sollten zumindest falsche User Agents sofort gestoppt werden.
Wie sieht es mit SSH-Knockern aus? Die fressen auch Ressourcen.