¿Cómo funciona realmente esa limitación de velocidad (no, no busqué la respuesta)? ¿Se activará después de una cantidad de solicitudes en un período de tiempo determinado por IP?
De todos modos, cuando hay una situación de tipo ddos en el sentido de, por ejemplo, si una URL se menciona en alguna lista estúpida, entonces comienza la inundación desde IPs de China, Pakistán, Irán, Irak, Vietnam y Rusia, además de muchas de los grandes servicios de VPS, principalmente de EE. UU., Francia y Alemania. Cuando intentan 3 veces y cambian de IP, la limitación de velocidad no ayuda demasiado.
En algún momento recibí muchas búsquedas estúpidas. Y mucho significa que una instancia de 5 USD de DigitalOcean se bloqueó y tuve casi cero solicitudes de humanos.
Esto es más o menos una cuestión del servidor web, no de Discourse. Esos atacantes deberían ser eliminados antes que una aplicación. Sé que mi situación/soluciones son mucho más fáciles que las del OP o las de la mayoría de los administradores web aquí porque soy de Finlandia y mi foro es puramente finlandés, por lo que prohibir a nivel mundial es posible para mí (bueno, los finlandeses que viven fuera de Finlandia lo ven de manera diferente 
)
Pero independientemente de la limitación de velocidad, al menos los agentes de usuario falsos deberían detenerse de inmediato.
¿Qué tal los atacantes de SSH? Esos también consumen recursos.