В большинстве случаев боты примитивны и не соблюдают правила по отправке http заголовков (и это я не про юзерагент говорю, хотя если в нем указан древний браузер, то это бот). Так что подаляющее число ботов можно остановить до запуска php, через htaccess или конфиг nginx.

P.S. Или Anubis себе поставьте :)

Первым делом надо включить: reCAPTCHA v2

https://developers.google.com/recaptcha/docs/display?hl=ru

А в движке включается тут:

https://github.com/LibArea/libarea/blob/main/config/integration.php#L19