Was muss ich denn noch heranziehen, um zuverlässiger zu ermitteln, ob der Request von einem Bot oder einem Menschen stammt?

Ein bösartiger Bot wird sehr genau versuchen, das Verhalten von Menschen nachzuahmen. Das geht bis zum Lösen von Captchas.

Wichtige Frage, die vorher zu klären ist:

• Warum und wozu willst Du das wissen?

Die Beantwortung führt nahezu direkt zu Erkenntnissen über mögliche und sinnvolle Maßnahmen - dazu kann insbesondere auch gehören, nichts zu tun.

Wie schon dargestellt ermittle mich mit einer Liste von URLs(*) ob es sich um einen Test auf bekannte Vulnerabilitäten handelt. Wenn das so ist blockiere ich die IP für eine Stunde.

Ich bin damit nach meiner Auffassung sehr erfolgreich, denn diese Tests gehen praktisch jedem, nicht zielgerichteten Angriff voraus.

*) Darin sind die von Rolf beschriebenen Tests auf Wordpress, aber auch phpmyadmin, einige Foren und so weiter.