Хм, не уверен, какое решение можно применить здесь. Спам-боты используют автоматизированные POST-запросы к конечной точке API регистрации, поэтому любой вопрос верификации в интерфейсе всё равно может быть обойдён. Я бы порекомендовал Discourse hCaptcha, но, кажется, его нельзя установить на бесплатном тарифе.
Судя по странице тарифов и планов, так и есть.
