Lembre-se de que suexec
não elimina todos os problemas de segurança e lida apenas com um subconjunto muito pequeno de problemas. Você menciona que um hacker ainda pode comprometer seu site, mas como um usuário diferente - o que é verdade. Mas considere isso - em um ambiente de hospedagem compartilhada, onde todas as instâncias do Apache estão sendo executadas como www-data
, um processo explorado do Apache agora tem acesso a tudo o que é www-data
, o que provavelmente abrange vários usuários.
Portanto, se você tivesse um usuário que pudesse visualizar seus próprios arquivos, tivesse um shell preso (se o hacker pudesse explorar e fazer login como usuário), desativado, etc., explorar esse usuário, especificamente, tem apenas um efeito limitado. O objetivo aqui não é impedir que hackers entrem, mas limitar seus danos assim que estiverem. Como o CGI pode ser explorado, ainda cabe a você garantir que seus scripts ainda estejam protegidos.