После запуска приложения можно сделать chroot, тогда корнем для него будет, например, /var/www (Google подсказывает, что в php-fpm это можно задать в конфиге, и тогда он сам сделает этот вызов). Также можно настроить доступ к отдельным файлам и каталогам для группы www-data.
