O acesso root no servidor host efetivamente concede acesso total a todo o conteúdo no Discourse. Incluindo conteúdo excluído logicamente (ele ainda vive no banco de dados) não excluído permanentemente.
(mesmo quando era suportado, nosso plugin discourse-encrypt apenas concedia às mensagens pessoais o benefício da criptografia)
A melhor maneira de prevenir esse acesso do host seria não poder conceder esse acesso (por exemplo, se seu site fosse hospedado por nós ou por outra entidade semelhante).
Nesse caso, alguém com acesso de administrador no site do Discourse ainda seria capaz de baixar um backup completo do banco de dados e ver todos os dados, mas não seria capaz de acessar os sistemas de backend.