Вопрос по бану

Ну забанишь ты по IP, а если у нескольких пользователей он один, то что дальше? ну вот такой, скупой провайдер попался. Да и IP поменять конкретному пользователю технически не составит труда. Так сказать, насолишь не виновным, и чуть усложнишь виновным.

Делай авторизацию, путем прямой регистрации или через соц сети (ulogin лучше всего как по мне), и все.

Еще через конфиг HTTP-сервера можно забанить подсеть, ну и средствами фаервола, конечно же.

Чтобы только отдельных юзеров банить - как ни крути, нет лучше способа, чем ввод авторизации (и ограничение прав неавторизованных).
Сейчас без проблем можно реализовать авторизацию через соцсети, что многие и практикуют.
Для защиты открытых форм без авторизации, потребуется кастомная капча (потому что боты обходят типовые капчи), а также техники типа двухшаговых токенов, honeypot, и так далее. Но если кому-то будет достаточно сильно нужно, он напишет скрипт под конкретно вашу защиту... то есть, открытые формы на 100% защитить невозможно. Только авторизация является надежным решением.

"Как" - зависит от выбранного способа и используемого ПО (в любом случае, прекрасно гуглится).

Пока лучше реализации чем связка регистрация, профиль с уникальным и-мэйл или телефоном с подтверждением и допуск к контенту только таких авторизованных пользователей - ничего лучше не придумали.
По айпи банить бестолковая работа. Я те могу айпи менять раз в минуту. Что сделаешь ты со мной? НИчего.