S bezpečností se dá jít mnohem, mnohem dál. FPM běžící pod odděleným uživatelem je IMO základ. Nicméně, společný uživatel je pak na apache / nginx, takže pokud chcete mít oddělená práva i pro čtení statických souborů, stojí za to mít i oddělené instance pro webserver, do kterých provoz rozhazuje reverzní proxy. Je to výhodné i pro činění konfiguračních změn. Např. SSL, komprese, ... jsou jen na instanci reverzní proxy, naopak moduly v apachi (nginxu) se pak nemusí povolovat všem, ale jen uživatelům, kteří je potřebují. Lze nastavit různou prioritu pro instance (může se hodit, aby např. vývojový web měl méně prostředků, než produkční).
Pak je také dobré nastavit umask, aby others neměli žádná práva. To pomůže taky hodně moc, zejména, pokud to vychází už od home adresáře. V takovém případě se do toho celého ještě přidává "složitost" s nastavením ACL - aby apache a fpm mohly do adresáře uživatele a navzájem. Ani apache, ani FPM nepotřebují write oprávnění vyjma tempů, uploadu a sessions adresářů. V celém webu (včetně tempů, uploadů, sessions) je dobré nastavit přímo noexec.
Podle mě je to ale dost komplikované na to, aby nešel napsat do diskuse nějaký návod. Bez pochopení, jak to funguje, se stejně nedá bezpečnost udržovat a kontrolovat. Doporučil bych, pokud s tím nechcete ztratit opravdu hodně času učením se (což je samozřejmě taky dobrá cesta), vzít nějaký bezplatný či placený panel pro správu hostingů. Není tam vyřešeno 100 % toho, co se dá, ale většinu mají zvládnutou.