Резкий всплеск прямых заходов. Как бороться?

У этого способа есть один существенный минус.

Многие сайты насилуют проксями со всей России, включая зарубежные, включая хостинговые ipv6 и ipv4.

Размер .htaccess может существенно разрастись.

Ссылка на инструкцию у меня была в подписи раньше. Вот ссылка: https://disk.yandex.ru/d/7m5wQQnfh5wu0A

Там смысл такой. Сначала допиливаешь метрику, чтобы она тебе ip ботов сливала, а потом отправляешь в бан те ip, которые самые спамные по прямым заходам. При этом из поиска (с рефкой) они баниться не будут. И реферальный спам, если такой остался, тоже можно банить. Там все расписано с комментариями.

Поисковики не забанятся, потому что их в метрике не видно. Но cloudflare будет проще в настройке, если спам ботами идет с огромного количества подсетей.

Александр, благодарю за комментарий и инструкцию👍🔥

У сашеньки смешная кличка алаич. Меня зовут Дмитрий. Пожалуйста 

Если НЕ включать режим Under Attack (вообще ни разу не предназначенный для фильтрации поведенческих ботов) то Cloudflare после переноса NS вообще ничего не фильтрует и ничего никому не показывает. 
Все остальное нужно задавать правилами фильтрации в разделе Secutity / WAF.

…. А у некоторых ещё и проблемы начинаются после подключения CF

CF абсолютно бесполезен и фильрует только всякую ерунду по типу простукиволок админок из Канады и Зимбабве, которых и без него забанить не проблема. Даёт краткосрочный и сомнительный эффект, после чего боты переключаются на переходы из поиска. При этом managed challenge иногда не срабатывает с первого и даже со второго раза у нормальных посетителей. На бесплатном тарифе вместо капчи в ~95% случаев используется managed challenge. Но и на платном их капчу боты проходят без проблем.