Анти БОТ

Попробуйте разбить вашу проблему на куски, методом исключения.
Выключите проксирование на клауде, проверьте, сохранятся ли ошибки и глюки. Если все наладится - проблема именно в этом:

А если и без клауда все будет так-же - то, соответственно, проблема в Джумле или ваших настройках сервака.

Вот в этом то и проблема. Для большинства ДДОС - это что-то из раздела фантастики в библиотеке. Ну либо другая крайность, любое повышение нагрузки на хостинге воспринимается как ддос атака. Мне за годы работы с клаудом пришлось иметь дело с огромным числом атак, спокойно разбираться с большинством из них, все стандартно до скукоты. А вот когда делом занимаются профессионалы, дорогие профессионалы, они разберут сайт по косточкам, в поисках слабых мест, и обязательно их найдут.
Счастье рядового владельца сайта в том, что это дорого и штучно, поэтому с высокой долей вероятности он с таким вообще ни разу не столкнется за свою жизнь. А залетные ддосеры делают массово дешево и сердито, поэтому их бояться не стоит, если есть клауд и опыт работы с ним именно в отбитии атак, а не просто НС прокинуть и пару WAF из интернета скопировать.
Сразу видно что именно вы - в теме.

Вот в том и есть проблема. Вы не имеете никакого представления и проблемах мелкого рядового владельца сайта, работали с парой крупных заказчиков. Поэтому и льете пургу, раздавая ярлык некомпетентности всем подряд, теории расписываете, выводы делаете, на своем широком опыте выдаивания, годами, какого-то корпоративного заказчика.

Исходя из своих ложных предпосылок. Возможно, кириллица для вас давно не основной язык, поэтому есть проблемы с пониманием прочитанного, отсюда эта хамская манера общения.
А написано было следующее - исходя из моего, уже поверьте, очень широкого опыта в определенной нише, и именно с клаудом связанной - целевые атаки именно на айпи - это скорее редкое исключение. Абсолютное число ддос  идет по доменном у имени. Значит в большинстве случаев дешево и сердито - вообще не париться по этому поводу. А вот если столкнулись с тем редким исключением, где не залетный ддос за пару шекелей, то тогда уже придется заморочиться. Я даже расписал способы такого заморачивания (которые вы собственно выше повторили, с видом академика, только уже от своего имени).

Вы как "лидеры рынка защиты от ддос", из одной из прибалтик, с нулевой отчетностью на юрлице на последние 5 лет, о которых никто не знает в Рунете, с дорвеем из начала 2000-х, - это да, как раз те самые люди, кто имеет полное право оскорблять других участников и даже ставить под сомнение их компетентность, причем в той узкой нише, которой они занимаются 🤣
Корону привязывать надо, а то упадет. Конфуз будет.

Кажется вы забываете о том, что по айпи редко кто ддосит. Ну вернее, невозможно забыть то, чего не знаешь. 
А на хостинге, если это впс, можно в настройках сетевого экрана поставить блок всех айпи за исключением айпи клауда. Либо можно в рамках своего тарифа шаред заменить айпишник, купить другой у хостера, после включения проксирования. Короче, много чего можно.

Так вот, сообщаю вам -  не парьтесь (из практики, а не ББС). Тем более, если вся ваша настройка клауда будет состоять из нажатия на кнопочку Under Attack, или честно скомунизженного с VC (c mailru в первом правиле, а судя по вопросам вы новичок и так оно и будет) - вам все равно ничего не поможет при ддосе.

Вот кстати, здесь сложно не согласиться. 

Мне в практике попадалось когда боты без посещения сайта писали данные сразу в аналитику, прикольно было наблюдать вечный онлайн в более чем 100 посетителей, при этом в логах посещений на хостинге в это время - зеро.

Чтобы был нормальный ДНС сервер, а не та шляпа, что у вашего хостинга по дефолту идет. Когда при необходимости любой правки в ДНС нужно ждать около часа, чтобы она синхронизировалась. Хостинг не онлайн их обновляет (как клауд, нажали, досчитали до 5 - готово), а допустим раз в 1 час или больше, зависит от того с какой ноги сисадмин встал когда настраивал.
Итого вы допустим прописали новую TXT запись, хостинг сообщил запись обновлена. У него лично на его сервере. А вот синхронизация с внешним миром, если спросите у саппорта хостинга - получите отписку что скоро, максимум в течение 24 часов.

Ну и да, если ДДОС, то если клауд настроен нормально, можно отбиться. Проксирование включается в 1 клик.
Потеряете процентов 30 трафика (из-за блока на стороне РКН), а не 100% и слёт всех позиций (которые потом, возможно, так и не восстановятся).

Вы наверное эзотерикой увлекаетесь, в приметы разные верите.
Вот уверен, если бы редирект не задавали, то боты бы не набежали 🤣

Раньше IPV6 у сайта не было, теперь появился. Есть пачки сайтов с информацией по вновь активированным доменам, парсеры разные, достаточно где-то светануться, и есть большой шанс попасть в какой-нибудь прогревочный список на выгул ботов. Причем выгул по этому протоколу в разы дешевле, чем по IPV4.

Так что не стоит теории строить, просто отключите IPV6.

Да ладно, вы просто не понимаете, что вы со своим макбуком палитесь как один и тот же пользователь и с браузером, и с режимом инкогнито, и с разными айпишниками. А уж конкретное устройство / сервер, на котором запускается софт, тоже имеет свои хвосты, по которым все что от него исходит, можно объединить в одну кучку, чтобы рассмотреть под микроскопом.

Вот вам скрин из вебвизора. Все виды источников, новый айпи в каждом заходе, все это разные провайдеры, что мобильные что стационарные, новый профиль бота на каждый визит, хорошая активность, хорошее количество просмотренных страниц, время больше минуты.
Однако все это сгруппировано и в один клик ушло под капчу, в итоге на скрине последние визиты той конкретной, весьма активной ботофермы.
Кто обратит внимание на источники переходов (дзен, маилру) и на мелькающие айпишники гонконга, тот сможет и у себя подобное найти.
Еще и рекламку, кстати покликивают, на скрине видно. А вы еще удивляетесь, откуда у яндекса такая куриная слепота.


Вот еще пример. Один и тот же пользователь целенаправленно скликивал рекламу, подавал фейковые заявки. Каждый раз с нового с точки зрения яндекс профиля, с новых прокси. Но вот все что на скрине - это один и тот же нехороший человек. А для яндекса - это 8 разных.