La respuesta anterior es muy buena, pero solo para agregarla:
Una vez que la base de datos se ejecute contra ataques de diccionario fuera de línea con archivos de reglas especiales, no me sorprendería que más del 40-50% de las contraseñas se descifren. Esos archivos de reglas son lo que realizaría sustituciones para pasar de una palabra como "esto" a "Este" o "Th1s".
- Asegúrese de no reutilizar ninguna de las contraseñas en esa base de datos, no solo para Wordpress, sino para cualquier otro sitio.
- También cambiaría todas las contraseñas de tu sitio en línea de inmediato.
- Reinstala todo (SO, wordpress, etc.) con nuevas contraseñas.