"Ce qui me gêne, c'est l'accès de www-data aux commandes sensibles"
c'est pour ça que le passage par un script, non modifiable par un utilisateur autre que root, sécurise le bidule. Évidement, il ne faudrait pas que la commande soit construite à la volée par www-data.