В принципе система защиты позволяет отфильтровать только скрипты, но и это уже не мало. От любителей наспамить руками такой ход не защищает. Кстати,
EvgeniyM, с капчами тоже не все так просто. Есть сервисы, считывающие капчу, и это не самая лучшая защита. Есть, конечно, и плагины антиспамовые, но они, насколько я помню, не бесплатные вовсе. Единственным реальным выходом остается задержка вывода комментариев в сочетании с переименованием полей.
Кстати, а почему бы не выключить (закомментить) в коде само поле вообще? Тогда скрипты не будут распознавать возможность отправки сообщений и проходить мимо. Надо попробовать методику и нагнать спамеров для проверки.