Блокировка пользователя

Тут нужен комплексный подход:

1. Определение бота путем рендера js'ом поля комментария например, либо любого другого поля формы.
2. Смотреть по юзер агенту если агент не браузер и не поисковый бот то блок.
3. Авторизация и регистрация либо аутентификация.
4. Премодераци и постмодерация

Так же можно легко определить бота, если сделать скрытую ссылку на специальную форму добавления чего либо. И если она была отправлена то блокировать ip, так как пользователь не увидел бы этой ссылки.

Так же косвенно можно определить:

1. User-agent браузер, версию и ос
2. Локализацию пользователя (по гео-данным)
3. В локал сторедж и куки можно записать некий ключ.

По совокупности этих признаков можно примерно определить тот же пользователь это или нет. Я бы сделал, некую процентную гродацию что то вроде (u-a+geo+local_storage)(old)/(u-a+geo+local_storage)(new)*100 = неблагонадежность. так вы можете получить процент на сколько ранее заблокированный пользователь совпадает с вновь вошедшем, а если еще учесть патерны поведения, клики по ссылкам, ввод комментария через какое либо времени и добавлять эти доли к рейтингу благонадежности, то можно будет с увереностью сказать что пользователь именно тот который был ранее на сайте. При достижения 95% неблагонадежности.

p.s. Понятно что алгоритм не из легких но надеюсь кому нибудь понадобиться.