[mar]

Ну, поскольку речь идет о уязвимостях (неизвестно каких, но, если они есть, то глубина дыры вряд ли известна), то единственным разумным способом изоляции все-таки будет jail
Виртуальные хосты и так изолированы друг от друга, насколько это возможно для виртуальных хостов, но не от системы.

А так - что-то вроде apache2-mpm-itk для запуска apache от разных пользователей, жесткое разделение прав на файлы и каталоги (и на базы) + общие правила системы безопасности (типа запрета на исполнение в /tmp ) Но это все палиатив.