Moin,

2020-09-12 11:29:26	Error	87.xxx.xxx.xxx	403	GET /web-fonts/FontAwesome/5.0.13/webfonts/fa-regular-400.woff2 HTTP/1.0		Mozilla/5.0 (iPhone; CPU iPhone OS 13_6_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/13.1.2 Mobile/15E148 Safari/604.1	1.21 K	Apache-Zugriff
2020-09-12 11:29:26	Error	87.xxx.xxx.xxx	403	GET /web-fonts/Variable/Variable-Bold.woff HTTP/1.0		Mozilla/5.0 (iPhone; CPU iPhone OS 13_6_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/13.1.2 Mobile/15E148 Safari/604.1	1.21 K	Apache-Zugriff

Dies tritt (wohl) jedesmal auf wenn es um ein iPhone geht, mag also ein iPhone nicht meinen Font (oder kann ihn gar nicht darstellen?)

nein, eher umgekehrt. Das Ei-Fon fordert die Font-Ressource ja an, dein Server antwortet aber mit 403, das heißt "kriegst du nicht". Er verweigert das also von sich aus aufgrund irgendeiner Server-Einstellung.

Ich habe da etwas über "CSS Font Stack" gelesen, wäre ich also gut beraten einen zweiten Font mit anzugeben? Womöglich einen den man ohnehin am Laptop hat? Wäre dann der Fehler behoben?

Das solltest du sowieso - also als zweite oder dritte Möglichkeit einen Font angeben, der dem von dir gewünschten ähnlich sieht und auf möglichst vielen Systemen verfügbar ist. Bei serifenlosen Schriften also z.B. Arial und Helvetica, als letzte Möglichkeit die generische Schriftfamilie Sans-Serif.

Allerdings werden die Clients dann immer noch versuchen, deinen Webfonts als erstes zu laden, weil der vermutlich als erster genannt wird. Erst wenn das fehlschlägt, werden die Clients ersatzweise einen der anderen Fonts benutzen.

B) Meine Bildergalerie funktioniert über ein php-script das dann alle Medien hintereinanderweg darstellt, nun ist mir folgendes aufgefallen (und zwar immer nur bei Videos):

2020-09-09 03:25:32	Error	217.xx.xx.xxx	500	GET /media.php?src=/ordner01/work/work01/01_05.mp4 HTTP/1.0		Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.135 Safari/537.36 OPR/70.0.3728.154	8.54 K	Apache-Zugriff
2020-09-09 03:25:34	Warning	217.xx.xx.xxx		(32)Broken pipe: mod_fcgid: ap_pass_brigade failed in handle_request_ipc function				Apache-Fehler

Das deutet auf einen gravierenden Fehler im PHP-Script hin. Das Script wird anscheinend beendet, bevor es eine sinnvolle Ausgabe erzeugen kann, deshalb antwortet der Server mit Status 500 (Interner Fehler).
Die zweite Zeile könnte ein Folgefehler sein.

C) Seid einiger Zeit fällt mir auf das meine website stark mit post-requests gespammt wird, in etwa so:

2020-09-12 12:56:15	Error	37.**.**.**	403	POST ///wp-content/plugins/wp-file-manager/lib/php/connector.minimal.php HTTP/1.0		curl/7.68.0	1.21 K	Apache-Zugriff
2020-09-12 12:57:22	Error	37.**.**.**	403	GET ///wp-content/plugins/wp-file-manager/lib/files/admin.php HTTP/1.0		curl/7.68.0	1.21 K	Apache-Zugriff
2020-09-12 12:58:24	Error	37.**.**.**	403	POST //wp-content/plugins/wp-file-manager/lib/php/connector.minimal.php HTTP/1.0		curl/7.68.0	1.21 K	Apache-Zugriff
2020-09-12 12:59:07	Error	37.**.**.**	403	GET //wp-content/plugins/wp-file-manager/lib/files/x.php?cmd=whoami HTTP/1.0		curl/7.68.0	1.21 K	Apache-Zugriff

Hier in dem Fall habe ich die IP "geblockt", sodass er eine 403 Meldung bekommt, manchmal aber kommt der Spammer sogar mit 200 durch.

Das sind fehlerhafte Requests. Zwei führende / sind eigentlich Unfug. Und ich nehme doch an, dass die dort angefragten Ressourcen, auch wenn sie mit 200 (OK) ausgeliefert werden, zunächst harmlos sind - z.B. weil sie erst eine Login-Maske anzeigen, bevor sie irgendwas Unerwünschtes tun.

Meine Frage hier: Obwohl ich KEIN wordpress habe ...

Wie kann es dann sein, dass ein Aufruf von /wp-content/... mit 200 beschieden wird? Das kann ja nur passieren, wenn es eine entsprechende Ressource bei dir tatsächlich gibt.

... (die IDIOTEN es aber wohl immer noch nicht kapieren!!) und auch KEINEN der anderen Möglichkeiten des CMS benutze, wäre es trotzdem angebracht zum Beispiel eine 7g wordpress Firewall (oder die 6g) einzusetzen?

Keine Ahnung, was 7g oder 6g hier bedeuten soll - aber nein. Es besteht kein Grund, den Zugriff auf etwas nicht Vorhandenes gezielt zu unterbinden - es sei denn, die Zugriffe wären so massiv, dass der Server dadurch in die Knie geht (DoS).

Übrigens: Wenn du Auszüge aus dem Apache-Log postest, kennzeichne sie bitte nicht als HTML-Code, sondern lass besser die Sprache komplett weg.

Live long and pros healthy,
 Martin