Вы всё правильно понимаете, и если PHP скрипты исполняются Apache, а тот в свою очередь запущен от пользователя www-data то в плане разграничения прав всё будет работать ровно так как и ожидается. Если www-data не имеет флага suid то и повысить права или сменить пользователя скрипты не смогут.
Есть разбор этого вопроса на SO
https://wordpress.stackexchange.com/questions/3787...
Если коротко, то приведённая цитата из "Hardening Wordpress" некорректна и вводит в заблуждение.
