Установите владельца и группу этих двух каталогов для соответствующего пользователя и ограничьте права доступа для владельца / группы каталога (в основном, удалите rwx из других в их каталогах).
Это потребует дополнительной настройки виртуального хоста Apache, чтобы указать, какой «пользователь» Apache должен прочитать корень соответствующего документа с: mod_suexec »suexecusergroup
Возможно, вам следует установитьна вашем сервере установите значение 007, чтобы сохранить это ограничение для всех новых файлов / папок.
Кроме того, я бы установил бит SETGID для всех папок в вашем веб-корне sudo find . -type d -exec chmod g+s {} \;