Принял решение и уже прикрутил ftp и ssh2 клиентов в движок. Что это даст? Понижение требуемых прав до минимальных, что самым благоприятным образом скажется на безопасности, а также более упрощенную инсталляцию. Какие сложности могут возникнуть? Пока единственная сложность - это поиск пути к файлам движка через ftp аккаунт. Дело в том, что у ftp пользователя корневая папка может быть любой, и все пути для ftp аккаунта вычисляются относительно корневой папки. Можно попытаться автоматически найти (путем хитромудрого перебора) путь к файлам движка. Чтобы гарантировать нахождение файлов, в движок прикручу аяксовый ftp клиент - в некоторой степени это за гранью разума, так как вэбмастер должен знать пути к файлам движка на ftp сервере. Опыт общения с пользователями блоголёта говорит, что эта задача может оказаться слишком сложной для части пользователей. Чтобы предотвратить часть вопросов видимо надо будет сделать ftp инсталлятор движка, который бы запоминал путь к файлам, для последующего использования. Сам аккаунт ftp запоминать не следует - это не безопасная инфа, и ее можно будет запрашивать в форме для одноразовых операций: автообновление, бекап.

Рекомендуемым методом является ssh2, но он к сожалению не установлен у меня на сервере (имеется в виду расширение php) и я не смог протестировать. Если же пользователь php скриптов совпадает с владельцем файлов, то можно обновляться средствами файловой системы на пониженных правах, то есть 644 и 755