1 servidor para apenas 1 site, devo usar o usuário root ou outro usuário?

Duncmc está exatamente certo. "É uma boa prática desabilitar o login root via SSH. Prepare-se com uma conta de usuário que você usa para o SSH e use o sudo para qualquer tarefa de administração."

Eu iria mais longe e diria as melhores práticas.

O próximo apache deve ter seu próprio usuário e grupo. Em seu httpd.conf, existem várias opções de configuração que você deve alterar.

ServerSignature Off ServerTokens Prod LimitRequestBody (1.5x o tamanho da sua maior página possível) Remova Aliases para documentos de ícones e erro.

Aqui está um ponto de partida decente. link

Você pode fazer o que quiser como root, mas aplicativos como o Apache terão conta própria, porque se alguém entrar nele, eles não terão direitos de root.

Provavelmente, é melhor "fazer login como usuário normal, usar su ou sudo para obter privilégios de root" e "qualquer serviço de exibição externo é executado como seu próprio usuário" (ssh precisará, por necessidade, para ser executado como root).

A razão principal é que "faça logon como privilégios de não elevação e elevação" permite que você bloqueie o login de raiz remota e registre qualquer escalação (idealmente para um servidor de log remoto) e executando serviços segregados em "espaço privilegiado" de um serviço causando um buraco explorável em outro é minimizado (e qualquer penetração tem uma chance maior de ser contida).

É recomendável desativar o login raiz via SSH. Prepare-se com uma conta de usuário que você usa para o SSH e use o sudo para qualquer tarefa de administração.