Es gibt offenbar keinen Grund, weshalb der gesamte root folder auf 777 gesetzt werden müsste. Offenbar funktionieren die Statistiken, wenn nur die logs durch den PHP user veränderbar sind.

Die gesamte Website über PHP beschreibbar zu machen liefert nur Ansätze, um beim Auftreten von Sicherheitslücken die volle Kontrolle über eine Webpräsenz übernehmen zu können. Dabei ist ein großer Vorteil von WSX5 gegenüber Wordpress, Joomla etc., dass man eben nicht Gefahr läuft, die eigene Site beim Auftauchen des nächsten Exploits zu einer Spamschleuder umgebaut zu kriegen.

Zugriffsrechte sollten so minimal gehalten werden, wie möglich. Entsprechend sollten die Empfehlungen an die User gestaltet werden.