É assim que isso funciona: Quando você faz o login via FTP / SSH e envia arquivos, eles são criados com suas permissões. Provavelmente seu webroot é mundialmente gravável (0777), isto é inseguro - todo usuário no sistema pode escrever algo lá. PHP é executado com diferentes privilégios de usuário (Eles são especificados na configuração do PHP-FPM, não na configuração nginx), e como o diretório é mundialmente gravável, o usuário PHP (www-data) também pode escrever lá. Mas o proprietário deste arquivo é www-data, não sua conta. São duas contas distintas no nível de permissão do sistema de arquivos.
Eu sugiro que você crie um usuário dedicado com o mínimo de privilégios possíveis, o qual possuiria o diretório webroot e seria usado para o upload do FTP / SSH E executaria o php. Você deve alterar a configuração do PHP-FPM, na seção de trabalho há entrada de usuário e configuração do NGINX, para que você possa tornar os arquivos do seu site não legíveis e mais seguros.
Não execute o PHP com um usuário privilegiado (sudo capablities, escreva privilégios outsite docroot), o que poderia comprometer a segurança do servidor.