Denk beim Ändern der Berechtigungen bzw. des Besitzers daran, dass diese nicht ohne Grund eher restriktiv zu setzen sind, gerade bei Anwendungen, die auch von außen erreichbar sind.
Nehmen wir an, dass nun für alle deine CMS-Dateien der Besitzer www-data:www-data mit den Berechtigungen rwxr-x-– (entspricht 750) gilt. Je nach verwendetem CMS liegen Installations-, Admin- und Konfigurationsskripte an sehr bekannten Stellen und wurden (von dir) im Anschluss an die Installation vielleicht auch nicht (gemäß Anleitung oder automatisch) entfernt. Das kann dazu führen, dass pro Tag ein paar Dutzend Bots feststellen, dass sich dein CMS für mehr als nur dein privates Vergnügen eignet.
Nur um sicher zu gehen: Ich werfe dir hier nicht vor, so unvorsichtig vorzugehen. Aus der Kürze deiner Antworten kann ich einfach nur nicht schließen, ob du dir der Implikationen bewusst bist. Zusätzlich soll mein Hinweis auch anderen Besuchern helfen, die über diesen Aspekt der angegebenen Lösung noch nicht nachgedacht haben.