¿Cuál es la mejor manera de evitar que los robots maliciosos (clickbots, formbots, etc.) accedan a un servidor LAMP que no sea usar servicios como CloudFlare, Sucuri, WordFence, etc., ninguno de los cuales es perfecto?

El proveedor de infraestructura no viene al caso. Independientemente de lo que haga, el sistema operativo que aloja su aplicación debe comenzar desde una implementación segura y mantenerse actualizado de manera rutinaria.

La mejor manera de mantener la aplicación segura de los bots es evitar el uso de marcos de aplicaciones web comunes: Drupal, WordPress y similares son objeto de una investigación de vulnerabilidad activa realizada por sombreros negros bien financiados y pacientes. Si trabaja con algo más básico y con menos características de frente y fuera de la caja, por ejemplo. django, rieles, codeigniter, su superficie de ataque se reduce considerablemente.

Registre cada clic y su fuente y tenga algoritmos que actúen sobre acciones que son anormales. Mi acción preferida es aceptar entradas, mostrar el mensaje de éxito falso, pero no confirmar esta entrada en mi base de datos. Para un efecto de confusión adicional, puedo mostrar esta entrada normalmente pero restringirla solo a la dirección IP de origen. Si un usuario legítimo presenta una queja de que algo no funciona, estos datos almacenados en el búfer se pueden reproducir en la base de datos y se puede crear una excepción para este usuario en particular.

No me detendrás, ya que usaría ataques distribuidos, pero detendrás a la mayoría de los atacantes casuales.

Craigslist frustra a muchos spammers con su práctica “fantasma”. Es esencialmente lo que describí anteriormente.

ante todo,
Me gustaría decir que eres inteligente.

Creo que todos esos servicios son engañosos. Es solo marketing. De hecho, para mí, solo agregan un único punto de falla entre un servidor web e Internet.

¿Su servidor de la lámpara se ejecuta en Ubuntu? En Ubuntu hay un módulo llamado Iptables. Obtenga acceso a él y desarrolle reglas para mitigar Ddos y cosechadores.

Por ejemplo, en Iptables puede bloquear las IP que realizan 100 solicitudes en un puerto durante 30 segundos.

La mejor y más recomendada solución es colocar trampas, creo.

Me refiero a la creación de sitios web, confusamente similares a los que buscan los robots. Software de foro, formularios de contacto, versiones antiguas de CMS, etc. que se usan con frecuencia. Son como una trampa para los robots de spam, ya que no pueden resistirlo. Después de eso, no tienes nada más que hacer con eso, sino esperar a que los robots entren en tus trampas y luego prohibirlos. Bueno, su implementación no es realmente fácil por cierto.
Además de los bots de spam, muchos bots útiles podrían caer en la trampa, sin embargo, no sería una buena idea incluir en la lista negra los bots de Google o Yahoo de su sitio. Los visitantes humanos también pueden experimentar dificultades, pero no debe perder a sus clientes apenas ganados.

Si pudiera recomendar una solución (que es más compleja que las soluciones de redirección de dominio, como Cloudflare, por ejemplo), sería BitNinja.io. Al instalar su cliente Linux, puede obtener un sistema honeypot completo, probado y probado.