Есть ли смысл ставить nginx+apache внутри openvz?

Если vds на KVM, XEN или ещё какой-то полноценной виртуалке то можно, если на том-же OpenVZ (или аналогах) то не получится.
В принципе можно ограничиться отдельным пользователем, от подавляющего большинства атак это защитит не хуже контейнера.

Если верить хостеру, KVM. Как проверить, увы, не знаю.

А откуда там вообще потребность в apache взялась?

Как я понял у топикстартера потребность в бложике на WP, для бложика на WP нужен PHP, а для PHP нужна какая-нибудь пускалка, например Apache. Можно конечно заменить Apache на php-fpm или hhvm, но разве, в контексте задачи, от этого что-то изменится?

Вообще огородить апач с вп контейнером - это решение вполне нормальное. Единственное что непонятно - это как в такой схеме без костылей заставить nginx отдавать статику. Если так уж важно заставить его это делать - то возможно будет проще засунуть его во все тот же контейнер, а апач перевесить на какой-то другой порт, да еще и только локалхост пусть слушает.

По поводу того, что еще изменить - а чтов итоге этих изменений хочется получить ?

Ну типа, можно ведь туда напрямую проксировать.

Получить хочется безопасность сервера, чтобы при взломе какой-то одной части злоумышленник не мог получить доступ ко всему серверу и ограничение по ресурсам, чтоб можно было, допустим, выделить 10 гб диска и 1 cpu wordpress'у. Возможно в будущем во втором подобном контейнере будет работать сервис на джаве.

Так-ли важно по какому протоколу nginx будет дёргать сервер приложений, по fpm (over tcp) или по http?
Мне тоже PHP-FPM больше нравится, но это в значительной степени вкусовщина.

Ну, если не запускать апач с рутовыми правами, то даже при взломе wp до доступа ко всему серваку будет еще очень далеко.

Если будет работать несколько сервисов - то имеет (имхо конечно) смысл ставить nginx общий на всех, чтобы он занимался проксированием и заодно терминировал https, а дальше уже по потребностям - если нужно отдавать статику - проксировать на еще один nginx уже внутри контейнера (хотя тут я не уверен, даст ли это прибавку к производительности), если не критично - то на контейнер на апач.

Ну да, бложику от прослойки в виде апача сильно хуже не станет.

Можно, но не нужно, учитывая небольшое количество памяти и усложнение всего на пустом месте. Ставьте nginx + php-fpm через unix-сокет. Для обеспечения безопасности вовремя обновляйте WP, закройте доступ к админке средаствами nginx. Если совсем боитесь последствий возможного взлома — настройте SELinux и сделайте для php-fpm полное огораживание.