Интересно, а когда Заказчик заплатит, то как Вы поменяете код на сервере, если он чужой?
Это всё, конечно, "детский сад". Да и степень защиты, т.е. меры воздействия на Заказчика зависят от степени Вашей зловредности
Почему делать сайт полупрозрачным? Можно затемнять фон страницы вплоть до черного. Потом запретить реакцию на клики по кнопкам и переходы по ссылкам, ну и напоследок выставить фото Заказчика с надписью "Это подлец, который не платит деньги!" + адрес и номер его телефона.
Наиболее надежно выставить сайт сначала на своем сервере (с доменным именем Заказчика). А после периода тестирования Заказчиком и оплаты перенести на его сервер. Хотя при этом придется с него взять деньги и за свой хостинг.