Стало много обращений на сайте, что делать?

WordPress установлен давно с оф.сайта. Несколько дней назад такого ещё не было, и поэтому стал беспокоиться о какой-то проблеме. Тем более не понял откуда это взялось.

я добавлял на сайт скрипт пуш-уведомлений, но на другом сайте такого нет, там такой же скрипт.

Скорее всего, от пуш-уведомлений. Само не появляется, кто-то, возможно Вы, добавил на сайт руками.

код скрипта удалил, кеш почистил, но как на фото ссылки продолжают появляться.

Судя по фото — это лог клауда. Там можно и узнать, кто и откуда ведет атаку. А так же добавить правила, чтобы пресечь.
То, что в логе клауда «ссылки продолжают появляться» не означает, что они достигают какой-то цели. Посмотрите лог хостера, скорее всего они попадают на 404

я не совсем хорошо в этом разбираюсь, но логи .access.log посмотрел и ничего такого подозрительного не заметил. Примерно то же, что и на скрине выше, но только с IP адресами, а их я и так вижу в админке.

А в .error.log всего пара ошибок и тоже ничего подозрительного.

До появления /service-worker.js я блокировал некоторые IP адреса и страны, но после появления /service-worker.js перестал потому, что очень много разных адресов стало.

Защита от XSS-атак включена.

Посоветуйте, что сделать? Всех как на скрине ниже блокировать? Может дополнительно какой-то плагин подключить?

скрин

Посмотрите в логн доступа ещё реферера, откуда идут

где /?id=12/1/january это старая несуществующая ссылка и с неё стоит редирект.

Третья ссылка сверху — существующая.

Но в основном с https://…/service-worker.js