Então, graças ao link , a configuração correta é:
Match Group www-user User *,!yorunokoe
ChrootDirectory %h
ForceCommand internal-sftp
AllowTcpForwarding no
PermitTunnel no
X11Forwarding no
Isso limita todos os usuários em www-user exceto o usuário yorunokoe para sftp.