Все работает как нужно. Просто активировать плагин недостаточно. Нужно получить ключи здесь www.google.com/recaptcha/admin И затем в конфиге плагина прописать два ключа таким образом:

// Публичный ключ,
    'public_key' => 'Ключ.....',

    // Секретный ключ
    'secret_key' => 'Секретный ключ.....',

И при регистрации все работает замечательно.

Это не косяк, а фича — давно уже набор допустимых символов в логине настраивается в конфиге:

// Только цифры, латиница, подчеркивание и дефис
$config['module']['user']['login']['charset'] = '0-9a-z_\-';
// Цифры, латиница, подчеркивание, дефис и кириллица
$config['module']['user']['login']['charset'] = '0-9a-z_\-а-яё';
// Любые символы
$config['module']['user']['login']['charset'] = '\p{L}';

Или речь о чем-то ином?

Вообще-то вся концепция движка строится на том, что вебмастер не должен ничего менять в самом движке, а весь доп.функционал будут делать через расширения. И при таком подходе все обновления в рамках минорной версии 1.1.х могут выполняться просто обновлением папок /engine и /common.

Если же вебмастер что-то меняет в движке, то это означает одно из трех:
1) Он не понимает, как создавать расширения
2) Он ленится создавать расширения (а исправить прямо в коде действительно получается часто быстрее, чем создать плагин)
3) В движке есть какие-то узкие места, которые не позволяют создать нормальное расширение.

И мне, вообще-то, хотелось бы понимать в каждом конкретном случае корень проблемы.

А что касается патчей — а в каком виде их делать? Если в формате гита, то проще клонировать репо и мерджить коммиты. Или какой-то иной вариант предлагается?

В файл app/config/config.local.php добавьте строку

$config['db']['params']['charset'] = 'utf8';

Вот такое правило в .htaccess решает эту проблему:

RewriteCond %{REQUEST_URI} !\?
RewriteCond %{REQUEST_URI} !\&
RewriteCond %{REQUEST_URI} !\=
RewriteCond %{REQUEST_URI} !\.
RewriteCond %{REQUEST_URI} !\/$
RewriteRule ^(.*[^\/])$ /$1/ [R=301,L]

Только его нужно его добавить ДО переадресации на index.php

Почему-то мне кажется, что это более верный подход

Вообще полного отключения капчи не предусмотрено, но можно вместо картинки подключить гугловскую реКапчу, плагин идет в комплекте с движком.

www.google.com/recaptcha/admin — здесь можно получить ключи для нее.

common/plugins/recaptcha/config/config.php — здесь задаются настройки

Создай файл в папке шаблона например widget.mainmenu.tpl
Помести в него

</head>
<body>
<ul class="navigation"> 
   <li><a href="" target="_blank">Новости</a></li>
   <li><a href="" target="_blank">Статьи</a></li>
   <li><a href="" target="_blank">Шаблоны</a></li>
   <li><a href="" target="_blank">Книги</a></li>
   <li><a href="" target="_blank">Скрипты</a></li>
   <li><a href="" target="_blank">Видео</a></li>
   <li><a href="" target="_blank">Форум</a></li>
</ul>
<body>
</body>
</html>

А в файле widgets.php добавь

//Меню сайта
$config['widgets'][] = array(
    'name' => 'widgets/widget.mainmenu.tpl',
    'wgroup' => 'right',
    'priority' => 500,
    'action' => array(
        'index',
        'community',
        'filter',
        'blogs',
        'blog' => array('{topics}', '{topic}', '{blog}'),
        'tag',
    ),
    'title' => 'Меню',
);

Это простой вариант, а дальше надо немного знать css м все получиться