O que faz você pensar que não é ideal?
Não é mais ou menos ideal que qualquer outro diretório, e desde que os perms nos diretórios e arquivos e os detalhes de configuração do servidor estejam corretos, é exatamente tão seguro quanto /var/www .
Realmente não importa em qual diretório o DocumentRoot de um vhost está, contanto que o servidor web (apache ou qualquer outro) esteja configurado corretamente.
Meus próprios scripts de configuração vhost usam /home/WEB/$vhostuser/htdocs por padrão, com outros diretórios em /home/WEB/$vhostuser/ para logs, scripts CGI específicos para vhost, etc, para que tudo relacionado a um vhost esteja na mesma árvore de diretório.
Eu também uso apache-mpm-itk para que cada vhost seja executado sob seu próprio ID de usuário. Isso tem benefícios de segurança (por exemplo, scripts do vhost1 não podem tocar em arquivos pertencentes ao vhost2) e outros benefícios (por exemplo, arquivos de log podem ser chown -ed para o usuário, portanto fazem parte da cota do site, não de propriedade por root ... é responsabilidade deles baixá-los e excluí-los regularmente).
Naturalmente, muito disso está obsoleto agora porque você obtém isolamento ainda melhor de VMs e contêineres, mas nada disso existia quando comecei a escrever meus scripts de automação de vhost nos anos 90.