Можете попробовать добавить http-заголовок:
Content-Security-Policy-Report-Only: default-src *; connect-src 'none'; worker-src 'none'; report-uri http://куда.слать/эти/отчеты
Число после якоря это timestamp в формате unixtime с миллисекундами, т.е.
1553615481 = GMT: Tuesday, 26 March 2019 г., 15:51:21
Функциональность mod_security зависит от набора правил, которые он использует. Сам mod_security ничего не блокирует без этих правил. Коллекции правил существуют как коммерческие, так и бесплатные и нужно обязательно подгонять их под нужды конкретной CMS. Зачастую уже есть наборы и для вордпрессов и для всяких джумл. "Поставил и забыл" для информационной безопасности не работает, это процесс, которым надо заниматься специалисту.
Очевидно, что реклама замедляет загрузку сайта, поэтому с этим ничего не поделать, т.к. рекламные скрипты вы не контролируете. Если просто хочется "90", то не выводите код рекламы для pagespeed бота вообще*. А если хочется быстрой загрузки, то снимайте рекламу :)
* P.S.
if (strpos($_SERVER['HTTP_USER_AGENT'], 'Lighthouse') === false && strpos($_SERVER['HTTP_USER_AGENT'], 'Page Speed' === false) {// выводим рекламу}
PTR это для преобразования ip адреса в доменное имя (т.е. наоборот, чем обычно):
https://ru.wikipedia.org/wiki/%D0%9E%D0%B1%D1%80%D0%B0%D1%82%D0%BD%D1%8B%D0%B9_%D0%BF%D1%80%D0%BE%D1%81%D0%BC%D0%BE%D1%82%D1%80_DNS
Т.е. прописать два домена на 1 ip невозможно. Один можно, это делается в панели управления серверами hetzner: https://wiki.hetzner.de/index.php/IP-Adressen/ru#.D0.9E.D0.B1.D1.80.D0.B0.D1.82.D0.BD.D1.8B.D0.B9_DNS
В BotGuard sitemap блокируется для всех, кроме поисковых ботов, т.к. для парсеров это идеальная входная точка для определения, что надо воровать. Если это как-то мешает, то там настраивается для каждого сайта список исключений, можно сайтмапы туда добавить. Либо добавить ip сканера в белый список.
Для того, чтобы не нагружать систему большим числом правил, используйте ipset: https://blog.manasg.com/fun-with-ipset-and-iptables/---------- Добавлено 25.03.2019 в 02:05 ----------
вот например: https://www.blocklist.de/en/index.html
polybrand, "продвинутые" боты могут, вот тут целая фирма по производству подобных "продуктов":
botguard.net
shieldsquare.com
incapsula.com
distilnetworks.com
infisecure.com
Не совсем, сервисы по защите от DDos могут отсеять часть очевидных ботов, но они заточены на другое. "Сотни заходов в час" это не та атака, от которой они защищают. Вот если в секунду, то да.
Я бы на вашем месте поставил зашиту от ботов. Хоть яндекс к примеру и утверждает, что невозможно навредить сайту через такую накрутку, но примеры даже на этом форуме показывают обратное.
