Исправление mumpster, (текущая версия) :
ой, прошу прощения - невнимателньо прочитал.
лучше всего воспользоваться vsftpd feature:
anonymous_enable=NO
создав www-user под которым размещать весь код и у которого одна группа с апачем (web-user).
а чтобы по умолчанию она подставлялась - chmod g+s на верхнюю директорию и все последующие если уже там что-то есть.
либо с ACL поиграться (getfacl, setfacl) если оно есть. но там чутка посложнее (во всём).
это если всякие друпалы активно не используются которые сами себя правят с веба.
Исходная версия mumpster, :
а сайта разные лица харамырят?
если да - то лучше всего чтобы у каждого сайта был свой юзверь под которым и заходят пых-пыхеры и прочие уэбмастеры. но чтоб группа у них была та же что и у апача, а чтобы по умолчанию она подставлялась - chmod g+s на верхнюю директорию и все последующие если уже там что-то есть.
а в vsftpd - обязательно зачрутить уэбмастеров!
смотреть в конфиге параметры chroot_local_user, chroot_list_enable, chroot_list_file (ну полюс там ещё варианты есть)