Die häufigsten Angriff auf wp-Seiten sind Brute Force (Rohe Gewalt) Attacken. Dazu werden Programme verwendet die solange verschieden Zeichenfolgen ausprobieren, bis sie das richtige Passwort herausgefunden haben. Die Länge eines Passwortes ist schon mal sehr wichtig.

Im Prinzip kann aber mit Brute-Force-Attacken jedes Passwort geknackt werden.
Es ist halt eine Frage der Rechenleistung und der Zeit, also der Anzahl von möglichen Kombinationen die ein solches Programm in einer gewissen Zeit durchrechnen kann.

Nehmen wir einen leistungsstarken Rechner, der 2.147.483.600 Kennwörter pro Sekunde testen kann, dauert die Berechnung eines 10-stelligen Passworts aus Großbuchstaben, Kleinbuchstaben und Ziffern im längsten Fall 12 Jahre.
Der Wert stellt eine optimale Sicherheit dar, weil davon ausgegangen wird, dass die richtige Kombination erst mit der letzten Kombinationsmöglichkeit gefunden wird.
Die erforderliche Rechenzeit dauert länger, wenn Sonderzeichen mit verwendet werden.

Um es vorweg zu nehmen, ein optimales Passwort gibt es nicht. Da bei einer Brute-Force-Attacke viel Zufall im Spiel ist, wann eine bestimmte Kombination ausprobiert wird, gibt es keine 100%ige Sicherheit! Schon der erste Versuch könnte ein Treffer sein.
Quelle:1pw.de/brute-force

Gegen das ständige Ausprobieren von Kombinationen (Brute-Force-Attacken) hilft auch die Begrenzung der Login-Versuche.
Das wohl einfachste Mittel um Anmeldeversuche mit WordPress zu begrenzen ist die Verwendung eines Plugins.
Das von mir verwendete Plugin „WP-Limit-Login-Attemps“ von Arshid begrenzt die Anmeldeversuche und beginnt zusätzlich mit einer Captcha-Überprüfung.