Direi che la soluzione proposta dall'articolo è ancora ottima. L'unico consiglio che posso darti è di inserire un captcha nel form di registrazione e di inserire un controllo brute force al login (cioè verificare che qualcuno non esegua troppi tentativi di accesso con lo stesso username ma con password sistematicamente errate).

Infine, anche se è soltanto una sottigliezza, nella parte in cui le password vengono memorizzate nel database codificate in md5, ti consiglio si utilizzare invece l'hash sha1, md5 infatti sta diventando sempre meno sicuro e vulnerabile al brute force.