verdex: Я, к сожалению, nginx не использую, а в Апаче включаю модуль apache2-mpm-itk, чтобы изолировать каждый сайт друг от друга и от сервера в целом. Если сайт (веб-проект) вообще ничего не пишет в свой каталог, то можно запретить запись в конфиге сайта, тогда злоумышленник сможет только читать файлы.
verdex: в случае компрометации сайта ( любым способом ), злоумышленник получит доступ к серверу ОТ ИМЕНИ ПОЛЬЗОВАТЕЛЯ ВЕБСЕРВЕРА. Это и есть ответ на ваш вопрос.
Мне кажется, эту задачу можно решить как-то по другому. Например после окончания его работы просто сменить пароль. Выдать ему новый пароль, для новых работ, а потом снова сменить.
Опять таки, по FTP он может слить себе весь ваш сайт. Лучше сделайте простую "веб-морду" с ограниченным списком действий (изменение файлов и загрузка файлов на сервер) и логгированием всех действий. А еще можно использовать GIT
