Os arquivos no subdiretório www do site devem ser legíveis pelo id de usuário efetivo do servidor web em execução. O servidor web Apache geralmente é executado como usuário ninguém, grupo ninguém ou usuário www-data, grupo www-data. Portanto, esse usuário ou grupo precisa de permissões de leitura.
Se os scripts PHP gravarem em arquivos, esses arquivos precisam ser graváveis pelo id de usuário efetivo do serviço Apache em execução.
Como exatamente isso é organizado depende do seu provedor de hospedagem.
Se o site for público e os scripts não contiverem senhas, não houver brechas de segurança exploráveis (por exemplo, condições de corrida), talvez seja aceitável conceder permissões de leitura mundial. Eu gostaria de ter todos os arquivos pertencentes ao seu ID de usuário pessoal, não por um usuário "nobody" ou "user". Somente você deve ter permissões de gravação em arquivos no subdiretório www (e seus subdiretórios). Mesmo que seu site não contenha dados pessoais ou valiosos, você não quer que ele seja invadido por fraudadores ou spammers.
Alguns recursos úteis são