ну, это звучит как стандартная DDOS-атака, все, что вам нужно сделать, это заблокировать ip-адрес злоумышленника. Но, как и в большинстве DDOS-атак, есть не только один компьютер, который отправляет вам запросы. Это означает, что вы не можете автоматически определить, кто настоящий пользователь и кто бот. Один из способов блокировать такую атаку - проверить, сколько запросов отправляет IP-адрес за минуту или час. А затем заблокируйте их соответственно.
Например, вы знаете, что реальный пользователь может просматривать только 10-20 страниц в минуту. Поэтому, если ip-адрес запрашивает больше, чем это количество посещений страниц, вы можете смело предположить, что это бот, а затем заблокировать этот IP-адрес. Его не пуленепробиваемый, но он блокирует большую часть трафика, и через несколько дней злоумышленник может просто потерять интерес.
Существует простой плагин, который быстро выполнит эту работу. WP AntiDDOS
"этот код полезен?" Вы говорите нам? – PeeHaa
он не нападает сейчас. –