Андрей

да. через базы maxmind

Можно например сделать так, что в секунду можно 4 запроса, но при этом сделать дополнительное условие, при котором 40 запросов за 10 секунд - это уже не нормальное поведение?

Можно
limit_req_zone $binary_remote_addr zone=one:10m rate=2r/s;
даже в каждый локэшн можно вносить burst
limit_req zone=one burst=4; - burstкак раз и есть то что вам надо разрешает всплески до 4х. почитайте про

ngx_http_limit_req_module и ngx_http_limit_conn_module

Если на уровне nginx не подходит то можно разрулить с помощью файрвола (Csf, fail2ban).

Нет совсем правильно. Много у кого айпи могут совпадать, допустим 3 разрешать так как может быть мама брат сестра и тд (сосед по общаге и тд) и писать куку и вот если реально дохрена там совпадает 10 айпи и у всех куки одни то тут уже стоит понимать что это злостный мудак решивший наплодить мультов. Мобильник и почта тоже не спасёт если захотят мультиаккаунтов наплодить то для этого есть сервисы одноразовых почт телефонов и тд и тп.
Как вариант использовать еврикуки(от школоты поможет).
Так же про различные мутки/крутки по поводу идентификации уникальности юзера можешь почитать тут javascript.ru/unsorted/id

Для начала персоберите nginx с alpn и сайт отдайватй по http/2
потом сюда: https://www.ssllabs.com/ssltest/
ну а дальше уже надо проводить клиентскую оптимизацию (тут чекните поможет https://webo.in/ ).

https://vk.com/badbrowser.php
а проверять юзер агента можешь хоть на js хоть на php и если IE то редирект на эту страницу

конечно можно например через nginx запретить:
if ($http_referer ~* "site2\.ru") {
return 301;
}

1. статитику отдавать nginx-ом
2. включить qzip
3. перейти на http/2
4/5/и т.д. настроить opcache/кешь mysql/можно сделать cdn

это не сильно много онлайна. Нормальная связка. Только для более быстрого доступа к инфе всякую шнягу которую надо тютя в тютю обновлять в реалтайме я бы писал асинхронно в redis и обращался в него нодой.
Железо тоже нормальное нужно для такого онлайна + кластеризация ноды и в добрый путь.

на неткрафте.
https://news.netcraft.com/archives/2016/10/21/octo...

итак итак есть картинка. У тебя кеш. Всё нормально

Если сайт не сильно серьёзный и бд небольшая и не хочется сильно париться. То:
1. Создаем базу на новом сервере
2. Заливаем движок на новый сервер
3. Отрубаем сайт на тех работы и быстренько делаем перенос базы через ssh перед этим сделав удалённое соединение. и быстренько меняем конфиг (подключение к бд) на удалённое соединение через айпи xxx.xxx.xx.xx:3306
4. Открываем сайт
5. На новом сервачке только конфиг где будет идти локальное подключение к бд.
6. Файлы аватары музыку или чё там ещё у вас льёться на старом сервачке в движке дописываете чтобы заливались ассинхронно на оба сервака!
7. Через денька 3 наверочку сносим старый сайт.

Вы пинганите login.vk.com и vk.com вам выдаст разные айпи адреса. Вполне вероятно что скрипты авторизации лежат вообще на другом пуле айпи адресов и других серверах. У вас когда будет по 5-10 лямов за раз входить на сайт вам тоже придёться делать балансировку=)