Tach!

Gibt es eine Möglichkeit, serverseitig Bots mit einigermaßener Sicherheit von menschlischen Usern zu unterscheiden?

Nur die weniger guten. Es gibt ja keine (noch dazu weltweit gültige) Verpflichtung, dass ein Bot seinen Request zu kennzeichnen hat. Und selbst dann würden sich nicht alle daran halten.

Nun gibt es aber auch sehr viele Einträge, die nur eine Seite abrufen und wieder weg sind.
Dort hilft dieser Ansatz natürlich nicht.

Spam-Bots fragen meist nicht nach den eingebetteten Resourcen. Besucher fragen sie nur dann nicht an, wenn sie vorher schon dagewesen waren und sie in ihrem Cache haben.

Kann man evtl. über $_SERVER['HTTP_USER_AGENT'] Verdächtige ausfindig machen?

Nur die sich freiwillig meldenden. Weniger aufwendig geschriebene Bots verwenden auch HTTP 1.0, Browser heutzutage alle 1.1.

dedlfix.