С популярными движками есть один минус – тебя в конечном итогде находит спам-система, которая заточена под эти популярные движки и начинает брутфорсить пароли, капчу и т.д. Причём, современные спам-системы делают это достаточно агрессивно и много.
Т.е., приложить средней руки проект на средней руки хостинге, типа моего – не составит проблемы.
Так получилось, что вновь созданный форум «Технологическая прачечная» нашла некая бот-ферма. Система статистики сервера регистрировала до миллиона запросов в сутки. В первую очередь обратил внимание на тормознутость отклика данного сайта, самого форума и рабочей вики. СР хостинга было превышено в несколько раз.
При этом, надо отдать должное, движок phpbb3 так и не был взломан, капчу не прошёл ни один злостный бот, а хостер, несмотря на “упирания” в жесткий лимит, не позволил моим проектам прилечь.
В итоге, проблему решил правилом в .htaccess Deny from xxx.xxx.xxx.xxx. Все атакующие адреса были нейтрализованы. График нагрузки ЦП снова в зелёной зоне.