Auf welche Obscurity vertraust du?
wo siehst du hier irgendeinen Ansatz von Obscurity?

In diesem Satz des OP:
"Das würde die Sache für den Scanner deutlich erschweren, oder?"

Btw. Und was wenn die 404er durch deine Dusseligkeit verursacht sind?
Das sollte man schon daran erkennen, *welche* Ressourcen da angefordert und nicht gefunden werden. Hier sehen die Protokolleinträge nicht so aus, als ob die angeforderten Dokumente zu einer regulären Website gehören ...

Der OP sagt:
"Kann man dem Apache nicht beibringen, dass nach zB 10 Zugriffen mit Fehler von der selben IP die IP für eine Stunde gesperrt werden soll?"

Ergo vereinfacht. Kann man nach 10 x 404 eine automatisch IP sperren?
Automatisches Unterscheiden von "absichtlich" fehlenden Ressourcen
von "unabsichtlich" fehlenden Ressourcen ist keine triviale Sache.

Darauf bezog sich mein btw.

mfg Beat