По умолчанию Апач запускается процессы с UID=0 (root) (если root ставил, а это делать должен он).
Но можно заставить Apache запускать процессы с UID=ид пользователя,
который указывается как владелец хоста вируального.
Как это сделать - см. на apache.org :)
Ну суть следующая: если что-либо создает/удаляет файлы,
то юзер, при правильно выставленных правах на директории,
и не сможет никуда ничего дописать, кроме каталогов, владельцем которой он является. Ну а chown выставить на директории можно в процессе регистрации.