Als je varnish gebruikt, moet je hier eens kijken: https://github.com/comotion/security...ter/vcl/breach
Die hele security.vcl is trouwens wel erg leuk om eens te bekijken.
Libvmod-throttle voor varnish is leuk voor ratelimiting (als je wat ram over hebt) zodat je in je vcl eventueel nog precies kunt aangeven op welke pages/requests het van toepassing is. Zelf verder geen ervaring met deze mod.
Maar ik denk dat dingen zoals waf e.d. niet direct in varnish thuishoren maar eerder in de firewall/IDS die (eventueel softwarematig) vóór varnish hangt.
Hoe je e.e.a. doet ligt meer aan de echte setup waar je het voor doet. Als je varnish dedicated voor een bepaalde site gebruikt, dan kun je in de vcl's specifieker knutselen dan wanneer je varnish voor 5 verschillende websites met 100k bezoekers per dag hebt hangen. (mod-throttle heeft dan al snel een paar gb extra aan ram nodig waar je verder geen hol in kunt cachen).
Daarnaast is throttlen op ip-basis niet vaak de beste oplossing. Veel bedrijven, scholen e.d. gaan nog steeds maar met 1 ip naar buiten, dus 1 post van een url op facebook en voor je weet krijgen de helft van de bezoekers een 50x voor hun neus. Of beter nog... krijg maar eens een topic op geenstijl, dan kun je donder op zeggen dat je veel hits gaat krijgen van dezelfde ipadressen en dezelfde url. Precies waar je varnish in eerste instantie voor hebt gepakt... zodat het niet gethrottled werd
Wat je natuurlijk wel kunt doen is een mini API maken waarbij een bepaalde website (of handmatig) een 'eigen' path kan ratelimiten (bv zijn login pages). Aangezien jij dit waarschijnlijk toch met name voor WordPress wilt gebruiken, kun je daar dan een handige plugin omheen bouwen.