El acceso root en el servidor host otorga efectivamente acceso completo a todo el contenido en Discourse. Incluyendo contenido eliminado temporalmente (aún vive en la base de datos) no eliminado permanentemente.
(incluso cuando era compatible, nuestro plugin discourse-encrypt solo otorgaba cifrado a los mensajes personales)
La mejor manera de prevenir este acceso desde el host sería no poder otorgar ese acceso (por ejemplo, si su sitio fuera alojado por nosotros u otra entidad similar).
En ese caso, alguien con acceso de administrador en el sitio de Discourse aún podría descargar una copia de seguridad completa de la base de datos y ver todos los datos, pero no podría acceder a los sistemas backend.