Насчет Tor и VPN здесь безвыходная ситуация, можно только уведомить пользователя о ограниченном функционале действий(Если это Tor - определить браузер по пользовательском агенте, в случае с VPN нужен список всех известных портов)... А вот обычных пользователей можна отправлять на другую страницу. Пример пользователь, который введет "не санкционированные действия" зашёл на сайт
example.com, в начале Вы проверяете его "на вшивость" (ищете IP в своем списке) если есть совпадение отправляете на сайт
google.com, если нет пользователь продолжает работать с сайтом. Поищите blacklist для вашей CMS. В любой из ситуации Вы потеряете кучу потенциальных клиентов, так как некоторые провайдеры не выделяют каждому пользователю свой уникальный IP или же малый процент ваших нынешних клиентов уже давным-давно используют VPN и браузер Tor.