Анти БОТ

В чем сарказм? Включаете в настройках TLS 1.3 - сайт вылетает для РФ.
Отключаете ECH через API - снова становится доступен.

Включите после манипуляций с API. Чтобы даже на короткое время сайт снова не стал недоступен.

Я бы начал со следующего. Зайдите, получите вот такую вот ошибку с картинками. Потом сразу в events в Cloudflare, сделайте фильтр по своему айпи. И посмотрите, не попадает ли что-нибудь под капчу. А то как-то странно, что срабатывает именно при переходе с другого сайта.
 По кэшу я бы поотключал все свистоперделки, и поставил глобально читать параметры кэша с сервера.

Любой может взять впс на регру и крутить. Обычно через клауд составляют списки хостингов и всех под проверку или блок.

Киллбот сыроват еще. Фри тариф есть, но он такой, с нюансами. И только на посмотреть, без возможности что-то настраивать. Сразу на платные тарифы не так много кто готов идти. У того-же клауда около 2-3% платных пользователей, стандартная цифра для фремиум.
Из всех аналогов, которые хоть как-то в некоторых областях можно причислить к аналогам, этот может быть перспективен именно для фильтрации директа и поведенческих. Со временем.

По стандартным юзерагент точно не стоит в кучку всех замешивать. Для бота можно поставить любой рандомный юзерагент.

По айпи как вариант, только это песня вечная, с постоянной занятостью.

В советское время это называлось малосемейка. А теперь - по-модному.
Это из разряда цен 1,99$ и 2$. Разница в 1 цент, а разница в восприятии - в 2 раза.
По факту - недодвухкомнатная квартира с увеличенным общим пространством, с одной спальней. Уже больше чем просто однушка, но еще недостаточно, чтобы там было 2 изолированных спальни.

Имеется в виду вот это, Minimum TLS Version.

Total TLS это чуть другое, не для нашего случая.

Там главное чтобы не 1.3
Можно и по умолчанию (1.0), можно (это лучше) - 1.2

Там только одно правило - капчу всем в зубы.
Отключаете Under Attack, отключаете и капчу.