umm no sé si es una buena solución usar php-suexec, ya que la mayoria de los ataques son hecho en modo transversal a scripts en php que contienen vulnerabilidad, entonces el hacekr en vez de entrar al sitio de un cliente como usuario www, entra como el verdadero usuario, lo cual le va permitri borrar el sitio si lo desea, cosa que no puede hacer si entra como usario www.

Si el problema es el envio de spam usando un php y poder identificarlo, esto se puede hacer copilando y el php de forma que en la cabezera del mail enviado usando un progrma de php , ponga el nombre del dominio, asi uno viendo la cabezera podrá ir a la raiz del dominio y ver que programa uso el spammer para enviar mails .