Se isso for acessível pela rede, sim. Para que o apache acesse o public_html, ele precisará de algum nível de acesso ao diretório raiz do root (o que pode ser catastrófico se eles encontrarem alguma forma, por meio de vulnerabilidade de software ou configuração insegura, adicionar algo ao .bash_profile do root ou algo assim) .
Execute o mínimo possível humanamente em contas não-raiz. A execução de coisas em contas não-raiz não é uma precaução de "alta segurança", é uma precaução muito básica a par de não definir todas as suas senhas para igualar seus respectivos nomes de usuários. Você ainda vai se deparar com ataques, mesmo em sistemas domésticos. Meu servidor web público pessoal e sshd estão constantemente sob ataque de fontes externas (eu nunca tive que contar a ninguém que estava lá). Os IPs geralmente acabam na América do Sul ou na China. Mesmo que você esteja atrás de um NAT e firewall, o sistema ainda pode ser potencialmente segmentado.
Se não for acessível pela rede, o problema é muito discutível, exceto pelo fato de que o desenvolvimento pessoal provavelmente deve refletir as restrições com as quais você vai trabalhar em algum tipo de cenário de produção. Mesmo que nunca seja "produção", ainda é bom ter os guardas de segurança lá para que você não desenvolva acidentalmente seu aplicativo, de modo que ele exija que uma configuração insegura seja executada corretamente.
EDITAR:
Outro ponto: se você servisse o VHost fora do diretório home do root, isso implicaria que você está logando como root diretamente, que é outro requisito básico de segurança. PermitRootLogin no in sshd_config também deve ser a configuração efetiva, a menos que você tenha uma enorme razão para fazer o contrário.