Enviar solicitudes ilegítimas no es realmente «spam» per se, pero obtengo su significado. ¿Qué está impediendo que un hacker envíe solicitudes ilegítimas a su servidor, Nonce o no Nonce? A falta de protección DDoS, nada. ¿Qué tipo de información le preocupa en la API? Muchos datos de API están disponibles públicamente y no se requiere Nonce de todos modos. Los datos más confidenciales requieren una autenticación adecuada además de una nonce válida. Robar así la nonce de una forma por sí sola no logra mucho.
Dicho esto, el esquema WP Nonce no genera verdadero Nonces (número utilizado una vez). WP Nonces se puede usar varias veces dentro de un período de 12-24 horas. WP Nonces es solo una pequeña parte de un modelo de seguridad general. Si su aplicación requiere un verdadero nonces que solo se puede usar una vez, debe desarrollar un esquema de Nonce adecuado y verdadero.