Aqui está a minha experiência, isso depende da configuração.
Os arquivos PHP podem ser configurados para 600, para que o usuário possa lê-los e escrevê-los, e o suPHP deve cuidar de configurar o usuário para o dono do site. Você pode querer ter certeza de que o proprietário foi definido para o usuário, já que instalações antigas podem ter um proprietário como www-data. Você também pode defini-las como 400, mas pode ter problemas de suporte ao usuário sem permissões de gravação e isso não melhora muito a segurança.
Outros arquivos geralmente precisam de permissões como 644 porque o Apache os lerá como usuário www-data, que não será o proprietário ou o grupo desses arquivos. Isso também se aplica ao .htaccess e phi.ini. Como padrão para todos os arquivos, você provavelmente precisará de 644.
Permissões de diretório, se você tiver um diretório home com um public_hml, o ideal é definir esse 700, mas algumas configurações parecem precisar do 711 para o apache (e talvez algumas outras ferramentas) funcionarem. Hipoteticamente, 700 devem protegê-lo melhor que o 711 - com o 711, arquivos como uma configuração que é configurada para 644 (um padrão recomendado pelo Joomla e frequentemente aplicado por servidores web para novos arquivos) podem ser lidos pelo mundo se alguém puder adivinhar o arquivo localização - o que não é difícil (como talvez você tenha aprendido como administrador de muitos sites joomla e wp). Semelhante para public_html e outros diretórios, eles podem precisar de até 755. Mas você deve experimentar sua própria configuração, encontrar as permissões mais baixas onde os sites são carregados, voltar e certificar-se de que as ferramentas sejam compatíveis ou fornecidas aos clientes (como CPanel gerenciador de arquivos) funcionam corretamente também. Se você conseguir que o diretório home ou public_html seja definido como 700, poderá testar uma leitura em todas as contas em um configuration.php - descobri que minhas contas CPanel têm o diretório home 711 e que um 644. configuration.php pode ser lido nas contas de usuário. Eu vejo uma discussão CPanel sobre problemas com links simbólicos que podem facilitar a invasão de contas, então as permissões se tornam muito importantes - um site é hackeado, o servidor inteiro está em maior risco do que deveria ser. Alguém sugeriu que configurar o dir home para 700 evitará leituras em qualquer lugar abaixo desse diretório, mas a capacidade de fazer isso parece depender da configuração. Mas 700 no diretório home pode estar o mais próximo do santo graal que você pode fornecer, se funcionar (e isso parece depender da configuração).
Eu não sou realmente um especialista e certamente não sei a gama de configurações que você pode encontrar - mas estou respondendo porque vejo que essa é uma pergunta de 6 semanas que precisa de um bom conjunto de respostas. Espero que você obtenha alguém com experiência em configuração de servidor mais ampla para melhorar essa resposta.