If one web application is compromised, the attacker will gain the privileges of the www-data user, and the attacker will then be able to compromise the other 39 web applications. Is there any way I can keep this from happening?
Sim. Não faça isso. Não há absolutamente nenhum motivo para executar aplicativos não relacionados como um único usuário. Há mais de 65.000 IDs de usuário disponíveis em um sistema típico semelhante ao Unix e você deve aproveitá-los. Como fazer isso depende do aplicativo específico e das tecnologias que ele usa, o que seria melhor feito em uma pergunta separada.