La información del HTTP_REFERER no es entregada por tu navegador al abrir tu "pop-up" vía javascript, por eso detecta ese problema el script (un supuesto acceso directo al script).

La solución es que prescindas de ese código de validación del HTTP_REFERER ..

Como menciona yoseman . .no es seguro confiar en dicho valor para validaciones. De igual manera Autentificator ya valida sesiones por otro lado .. así que no afecta para nada en la seguridad de tus scripts quitar dicho código. (lo que pasa que entre unas cosas y otras nunca actualizé Autentificator en ese aspecto).

Un saludo,