Esta configuração é segura apenas para arquivos em sua pasta do site wordpress, mas não impede que um invasor invada seu sistema e acesse / leia / grave outros arquivos em seu servidor.
Como você está usando php5-fpm eu sugiro que você defina open_basedir para limitar o usuário php5 ao diretório php5 pool, assim:
php_admin_value[open_basedir] = /home/www/wordpress/httpdocs:/home/www/wordpress/tmp
Altere o diretório tmp do site para evitar o acesso na pasta compartilhada tmp.
Desative todas as funções do php não usadas pelo seu CMS para impedir o uso de funções perigosas para um usuário mal-intencionado, por exemplo:
php_admin_value[disable_functions] = apache_child_terminate, apache_setenv, define_syslog_variables, escapeshellarg, escapeshellcmd, eval, exec, fp, fput, ftp_connect, ftp_exec, ftp_get, ftp_login, ftp_nb_fput, ftp_put, ftp_raw, ftp_rawlist, highlight_file, ini_alter, ini_get_all, ini_restore, inject_code, mysql_pconnect, passthru, php_uname, phpAds_remoteInfo, phpAds_XmlRpc, phpAds_xmlrpcDecode, phpAds_xmlrpcEncode, popen, posix_getpwuid, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuid, posix_setuid, posix_uname, proc_close, proc_get_status, proc_nice, proc_open, proc_terminate, shell_exec, system, xmlrpc_entity_decode
Limite a memória (se você puder calcular a quantidade máxima de RAM necessária para a instalação do seu wordpress), desta forma o script mal-intencionado não pode exaurir os recursos do seu servidor.
php_admin_value[memory_limit] = 124M
Limite de upload_max_file size e post_max_size para evitar o upload de software grande (se você não precisar)
php_admin_value[upload_max_filesize] = 12M
php_admin_value[post_max_size] = 12M