Você respondeu sua própria pergunta.
O "usuário da web" refere-se à identidade do usuário executando nginx - neste caso, uid = nginx, gid = nginx.
Como log como este usuário não possui ou tem acesso de gravação a arquivos que não devem ser modificáveis (como a configuração wordpress mencionada anteriormente), você está bem.
EDIT: A menos que o PHP5-FPM seja iniciado como um processo separado que é executado como root, ele não pode exercer mais permissões do que aquelas presentes no servidor web.