Резкий всплеск прямых заходов. Как бороться?

Жалко что информации о более менее удачных способах нет в закрепленных сообщениях.
Все 106 страниц перечитывать тяжко.
Итак спустя 1.5 суток, работают правила Cloudflare:
1 - Пропускает YandexBot, GoogleBot и известные боты
2 - Фильтрует по Странам, пропускает Россия, Беларусь, Казахстан
3 - Пока запрет для  HTTP IPV6
По 3-му правилу, пробовал Капчу - проходят.
Общее поведение от 20 до 30 секунд скролинга/кликанья.
В целом трафик вернулся на нормальный уровень. 

В CF Ip-адреса с Крыма фиксируются как Украинские, так что правьте доступы.

Новый магазинчик, еще не запущен и не наполнен. Естественно никаких топов, конкурентов и заказов. Ссылок нигде нет.

Пошла такая массированная атака или внутренний косяк - пока не знаю точно.

Заблокировал сеть + добавил в вп-конфиг строчку:

add_filter('xmlrpc_enabled', '__return_false'); (не помогло)

Помог плагин: Disable XML-RPC-API

Ищут уязвимости в xmlrpc.php, это гуглится по запросу "уязвимость xmlrpc.php". Как  отключить xmlrpc.php wordperss.

Блокировать страницу xmlrpc.php можно и без плагинов, через .htaccess или клауд - информация в открытом доступе.

CF - здесь не нужен совсем, не нужно обвешивать сайт трясущимися капчами.

Вышеупомянутый плагин сразу решает проблему без настроек.

Поборол с помощью CF. Прописал правила в WAF (взял с ютуба и подправил), поисковиков вроде не зацепило, пока полет норм, наблюдаем.

При подключении CF наступил на грабли с редиректом - SSL/TLS encryption mode был  Flexible, а на хостинге включен редирект http в https, в результате сайт стал недоступен по причине Too Many Redirects. Сделал в CF  SSL/TLS encryption mode Full, и пофиксилось.

Бонусом сайты быстрее стали открываться.