Executando o nginx, os arquivos wordpress devem ser configurados para www-data ou root ou?

Eu acho que eles devem ser chowned para www-data: www-data. Isso é um pouco mais seguro, porque se o seu site for comprometido e você tiver um arquivo que pertence a root e tiver as permissões executáveis, seria muito mais fácil executar um comando como root, do que se todas as permissões fossem executadas. arquivos e diretórios eram de propriedade de um usuário não privilegiado.

Enquanto o nginx for executado como www-data, você não deverá ter problemas em ter os arquivos pertencentes ao mesmo usuário

um problema que você pode enfrentar é a instalação automática de plug-ins no admin do WordPress, exigindo que você faça login via FTP / SFTP se os arquivos não forem de propriedade do www-data.

Para melhor segurança, eu usaria um usuário diferente do www-data, exceto as pastas que eu quero que possam ser gravadas pelo aplicativo (como a pasta de upload de imagens). Este usuário pode ser root, mas é melhor, se você não for o programador, pertencer a um usuário de aplicativo genérico como wordpress .