Se você não quiser usar o chroot, você pode definir open_basedir e desabilitar funções perigosas, como system (), exec (), shell_exec (), passthru (), scandir (), popen () e proc_open ()
Eu hospedo sites para vários clientes que não têm acesso ao shell. Como evito que esses usuários explorem o sistema usando PHP? No momento, estou usando o suphp para o código deles como eles mesmos, mas eles ainda podem exibir arquivos nos diretórios iniciais de outros usuários, etc.
Se você não quiser usar o chroot, você pode definir open_basedir e desabilitar funções perigosas, como system (), exec (), shell_exec (), passthru (), scandir (), popen () e proc_open ()
Procure em CHROOT
O link fornece instruções detalhadas de implementação, mas basicamente, o objetivo é executar scripts php em uma cadeia ou chroot