Se un hacker ha afferrato il tuo file wordpress wp-config.php e un dump del tuo database contenente la tua password con hash? Quanto sarebbe difficile per loro di crackare facilmente la tua password anche se stai usando una password difficile da indovinare come "Th1siSmyP @ $$"
Dipende dalla loro potenza di elaborazione. Craccare una password localmente è molto più efficiente che da remoto e non richiede di evitare alcun rilevamento.
Si noti che non è necessario porre una domanda del genere poiché il sistema è già compromesso e l'hacker ha già accesso al proprio spazio di hosting se accedono allo script PHP. A questo punto, l'unica soluzione valida è eseguire una reinstallazione completa di WordPress e modificare tutte le password (o almeno gli amministratori e gli editor).
La risposta sopra è molto buona, ma solo per aggiungerla:
Una volta che il database viene eseguito contro gli attacchi di dizionario offline con file di regole speciali, non sarei sorpreso che oltre il 40-50% delle password in esso contenute risultino incrinate. Questi file di regole sono quelli che eseguono le sostituzioni per passare da una parola come "questo" a "Questo" o "Th1s".
Leggi altre domande sui tag wordpress password-cracking