O WPA (e o WPA2) criptografa o tráfego abaixo do nível que o Wireshark ou ferramentas semelhantes capturam. Essas ferramentas capturam na interface de soquete do sistema operacional, não no nível da mídia de rede real. Quando você envia um pacote por Wi-Fi protegido por WPA, a criptografia WPA não é adicionada até o último momento antes de os dados serem transmitidos.
Ainda pode haver outra criptografia - por exemplo, eu poderia aplicar criptografia PGP a um email e enviá-lo para o servidor SMTP por TLS, o que seria dois níveis de criptografia ... mas esses níveis seriam visíveis para (e de fato, criado por) o aplicativo (como meu cliente de email). Alguém farejando que o tráfego ainda seria capaz de ver coisas como qual protocolo está usando (TCP, sobre IP), de que porta ele vem e para onde está roteando, o endereço IP de destino e assim por diante.
No entanto, quando o pacote atinge o driver de interface WiFi, ele é criptografado com a chave AES que minha máquina está usando para WPA. Nesse ponto, as únicas coisas visíveis são o SSID da rede que estou usando (acho que os endereços MAC de origem e de destino também podem estar visíveis) e uma idéia vaga do tamanho. Alguém sem a chave WiFi farejando o tráfego de rede usando rádio definido por software ou uma placa WiFi em modo promíscuo não seria capaz de dizer a diferença entre meu e-mail e eu enviando um ping de rede ou conversando no Skype; eles nem seriam capazes de dizer onde os pacotes estavam indo além do ponto de acesso WiFi.