Comment fonctionne cette limitation de débit en fait (non, je n’ai pas cherché la réponse). Va-t-elle s’activer après un certain nombre de requêtes dans un laps de temps donné par IP ?
Quoi qu’il en soit, lorsqu’il y a une situation de type ddos, dans le sens où par exemple une URL est mentionnée dans une stupide liste, alors commence un déluge d’IP venant de Chine, du Pakistan, d’Iran, d’Irak, du Vietnam et de Russie, plus beaucoup de VPS de grands services, principalement des États-Unis, de France et d’Allemagne. Quand ils essaient 3 fois et changent d’IP, la limitation de débit n’aide pas beaucoup.
J’ai eu à un moment donné beaucoup de recherches stupides. Et beaucoup signifie qu’un droplet à 5 USD de DigitalOcean a planté et je n’avais presque aucune requête de la part d’humains.
C’est plus ou moins une question de serveur web, pas de Discourse. Ces attaquants devraient être bloqués avant l’application. Je sais que ma situation/mes solutions sont beaucoup plus faciles que celles de l’OP ou de la plupart des webmasters ici car je suis finlandais et mon forum est purement finlandais — donc bannir le monde entier m’est possible (bon, les Finlandais vivant à l’extérieur de la Finlande voient cela différemment 
)
Mais indépendamment de la limitation de débit, au moins les faux agents utilisateurs devraient être arrêtés immédiatement.
Qu’en est-il des attaquants SSH ? Ceux-ci consomment aussi des ressources.