Если подключаться через FTP, то это небезопасно.
А если подключаюсь через SFTP, то Пользователю доступны походу все файлы, как и root пользователю.
Как ограничить Пользователям доступ только непосредственно к его папке с www-доменами?
SFTP - это надстройка над SSH, так что для разграничения доступа нужно использовать системные средства - учётные записи, права доступа (chmod, ACL) и т.д.