está tudo bem se eu configurá-lo para ser executado como um usuário normal, em vez de executá-lo como www-data?
Claro.
Quais são os potenciais riscos de segurança que surgem ao mudar o usuário?
Não há riscos em alterar um usuário. Se alguma coisa mudar para outro usuário (que NÃO é sua conta de administrador, pois você nunca deve usá-lo, exceto para tarefas administrativas em um servidor), ficará mais seguro: alguém sabe que pode haver um usuário www-data quando houver um site ativo. Agora eles precisam adivinhar esse nome de usuário também. Definir uma boa senha é mais importante.
Não é o usuário, mas as permissões definidas para os diretórios e os arquivos que podem torná-lo arriscado. Se você definir permissões para arquivos e diretório, todas abertas para todos, é mais arriscado do que quando você as define o mais rigorosamente possível. Para alguém executar código arbitrário, essa pessoa precisa ser capaz de executar código. Portanto, defina os arquivos para 644 ou até 640, se possível, e diretórios para 755 ou 750, se possível, e faça com que os usuários precisem editar arquivos no mesmo grupo.