Николай Савин

Они шлют прямыми запросами на assets/components/ajaxform/action.php.
Сделайте сниппет chkbot:

<?php
$_SESSION['afchk'] = 1;
return true;

Добавьте его в &preHooks:

[[!AjaxForm?
&preHooks=`chkbot`
&hooks=`spam,email`
...
]]

А в файле assets/components/ajaxform/action.php на 23 строке добавьте:

if($_SESSION['afchk'] != 1){
    echo  $AjaxForm->success('Сообщение успешно отправлено.');
    die();
}
unset($_SESSION['afchk']);

Есть PageBlocks
Есть ContentBlocks
Или можно на MIGX сделать через Multiple Formtabs

Убери

'sort'=>'resource|menuindex:asc',

оставь только

'sortby' => 'CASE `Data`.`vendor` WHEN 7 THEN 1 ELSE 0 END ASC, msProduct.id',

Да он висит постоянно, как обычно делают во всяких сборках типа gulp, webpack когда работают с картинками вешают вотчеры, которые колдуют над ними.
Вот такая же фигня запущена на ноде на серваке, важно только там ноду под тем же пользователем запустить, что и весь сайт, а то проблемы с правами поползут.
Я использую для наблюдения — github.com/paulmillr/chokidar
А для генерации любых картинок с любыми настройками — github.com/GoogleChromeLabs/squoosh/tree/dev/cli
Это консольный аналог этого сервиса — squoosh.app/

Универсального средства нет. Все сугубо индивидуально
— Различные капчи обходятся при помощи rucaptcha.com/ или подобных сервисов
— От явных спамеров которые используют proxy листы/tor помогает www.stopforumspam.com
— Для защиты от матов и прочего бреда можно составить черный список слов
— Чтобы дополнительно отсеять спамеров с временными почтовыми ящиками можно составить список доменов github.com/TicketeStartup/temp-mail-check/blob/master/disposable-email-domains.json естественно, он будет не полный. И этот способ подойдет скорее для защиты от левых регистраций.

В любом случае, если вас решили целенаправленно заспамить, то это сделают. Но в 90% случаев данных мер достаточно.

С таким бюджетом не вы должны отбирать исполнителя по портфолио, а до вас должен кто-то да снизойти, что маловероятно