¿Si un pirata informático consiguió una retención de su archivo wordpress wp-config.php y un volcado de su base de datos que contiene su contraseña con hash? ¿Qué tan difícil sería para ellos descifrar fácilmente su contraseña incluso si está usando una contraseña difícil de adivinar como "Th1siSmyP @ $$"
Eso depende de su poder de procesamiento. Descifrar una contraseña localmente es mucho más eficiente que de forma remota y no requiere evitar ninguna detección.
Tenga en cuenta que no tiene sentido hacer una pregunta de este tipo ya que su sistema ya está comprometido y el pirata informático ya tiene acceso a su espacio de alojamiento si tiene acceso al script PHP. En este punto, su única solución valiosa es hacer una reinstalación completa de WordPress y cambiar todas las contraseñas (o al menos los administradores y editores).
La respuesta anterior es muy buena, pero solo para agregarla:
Una vez que la base de datos se ejecute contra ataques de diccionario fuera de línea con archivos de reglas especiales, no me sorprendería que más del 40-50% de las contraseñas se descifren. Esos archivos de reglas son lo que realizaría sustituciones para pasar de una palabra como "esto" a "Este" o "Th1s".
Lea otras preguntas en las etiquetas password-cracking wordpress