Geralmente, você só quer ter pastas de upload ou arquivos autogerados para serem graváveis pelo usuário www-data
.
De qualquer forma, o risco que você está abrindo aqui é que se seu aplicativo da web tiver algum bug / vulnerabilidade que possa permitir que um invasor execute código em seu servidor, esse código será executado como www-data
(o usuário está executando o processo apache) ) e pode excluir completamente todos os seus sites.