Ich kenne das Plugin nicht, weiß aber, dass ECC+ das auch alles kann, was auf der Seite genannt wird (und mehr).
15 Sekunden kommt nat. auf das Formular an. Ich bin oft schneller 
, weil sich ja Browser auch viel merken oder Auto-Ausfüllen, z.B. mit Keepass und anderen Werkzeugen schneller sein könnte.
Ein verstecktes Feld, das ein Bot dann ausfüllt und sich damit selber aussperrt, ist halt eine von mehreren Varianten ein Formular abzusichern. Ob das alleine ausreicht kommt auf die Seite an, das Formular und das Gemüt dessen, der den Spam erhält. Mich nerven 2,3,4 Spam-Mails am Tag schon lange nicht mehr
Registrierungen wäre dann wieder eine andere Sache. Da würde ICH z.B. zu Standards in ECC+ dem Kunden auch noch hCaptcha empfehlen, falls das eskalieren sollte, aber nicht davor.
Da in der betroffenen J3 Installation eine Formularkomponente von Joomlashine enthalten ist (JSN Uniform), welche weiter genutzt werden soll (Joomlashine hat seine Dienste zwar komplett eingestellt aber der Kunde möchte seine Komponente weiter nutzen) und ECC+ dafür derzeit keine Unterstützung anbietet (habe zumindest im Plugin nichts finden können) muss ich darauf verzichten und eine andere honeypot-Lösung finden. Bin ich halt doch wieder beim o.g. Plugin.
Schade ECC+ wäre schon was gewesen aber was will man machen.
Aus Interesse: Das Plugin von dir unterstützt das aber? Weil die pauschal von "Joomla-Formularen" reden.
Es sucht nach spezifischen HTML-Elementen eines Formulars, z.B. den Bereich des Absendebuttons (und/oder weiteren Kriterien) und schiebt dann in das Seiten-HTML automatisch das zusätzliche Feld am Ende der </form> rein. Und fügt das CSS im HEAD automatisch ein. Du musst also gar nichts zusätzliches tun.
z.B. gerade mal getestet in einem Kontaktformular finde ich ohne Zutun:
<input type="text" name="your_address_here" value="">und im HEAD
<style type="text/css">input[name='your_address_here'] {display: none !important;}</style>Das Feld merkt sich das Plugin. Wie weiß ich nicht. Vielleicht über die Session des Besuchers.
Beim Absenden kann ja ein Plugin die Formulardaten abgreifen und prüfen, ggf. das Senden des Formulars unterbinden.
Wenn also dann bei der Prüfung der Formulardaten was im versteckten Feld
your_address_herewas drinnen steht, wars ein Bot. Also eben kein Pflichtfeld. Genau umgekehrt.
Bei OS-Erweiterungen ist das immer etwas intransparent und man müsste tiefer in das Framework einsteigen, wie das nun ganz exakt abläuft. Da habe ich jetzt keine Lust
Auch, weil gleich nach der Installation in Joomla 4/PHP8 ein Haufen Deprecated-Meldungen kamen
Echt toll von dir, das du mal nachgesehen hast 
. Ich bin jetzt schon verwundert wie gut das funktioniert.
Habe auch mal das Log eingefügt (die php-Datei wie in der Doku beschrieben).
Verfolge das Ganze jetzt mal ein Paar Tage und schaue im Log was da alles so gebloggt wird.
Das Feld merkt sich das Plugin. Wie weiß ich nicht. Vielleicht über die Session des Besuchers.
Es gibt einfach eine Liste der Fantasie-Feldernamen und das Plugin greift die POST, GET, REQUEST-Daten nach dem Senden zum frühest möglichen Zeitpunkt ab und vergleicht mit der Liste.
Ausprobieren kannst, indem du bei dem CSS im HEAD das display:none im Browser-Inspektor deaktivierst und das Feld dann ausfüllst.
