Лучше каждый сайт держать под отдельным бесправным пользователем и проследить, что один пользователь не видит домашки и файлы других пользователей, а так же ничего сколько-нибудь важного.
Под Apache эта задача решается через mpm-itk и несколькими другими методами, которыми я не пользуюсь из соображений совместимости и простоты настройки. Смотрите мой пост на эту тему:
habrahabr.ru/blogs/linux/90689/
Если у вас нет ACL или не хочется усложнять, делайте как в этом комментарии:
habrahabr.ru/blogs/linux/90689/#comment_2732041 
