Sí, hice una instalación estándar.
Mi primer pensamiento fue simplemente que nos hubieran “slashdotted”, pero 24 horas después todavía me están atacando.
La solución temporal rápida fue cerrar la puerta principal y configurar el sitio como “requiere inicio de sesión”. Lo cual funcionó, el uso de la CPU bajó del 100% al 3% en 60 segundos.
Tan pronto como abro la puerta principal, mi página de /search es instantáneamente bombardeada con basura como:
/search?q=dogs+order:latest&page=2
/search?q=cats+order:latest&page=2
/search?q=fly+order:latest&page=2
etc.
Esto sucede a los 60 segundos de volver a abrir el sitio.
Somos un grupo pequeño y de nicho, no estoy seguro de por qué alguien nos atacaría con algo 
Es solo una estimación, pero según Google Analytics normalmente tenemos de 8 a 10 usuarios activos y esto se dispara a más de 1.000 en cuestión de segundos después de que vuelvo a abrir el sitio al público. Todas las conexiones provienen de varias partes de EE. UU., todas directas y sin referentes.
Dejaré el sitio cerrado solo para miembros por unos días y veré si desaparece, o si puedo limitar /search solo a usuarios registrados, y si no, probablemente tendré que recurrir a la ruta de Cloudflare.
Gracias a todos 