Se puede eliminar dicha porción de código que valida el "HTTP_REFERER" . de hecho a ver si me animo y lo hago (siempre digo lo mismo y nunca lo hago sorry).

Por lo demás el script va a validar igualmente esa sesión .. así que el tema "seguridad" no es afectado a que elimines esa porción de código. Lo único que se pierde quitando ese código es la opción de poder usar múltiples formularios de "login" y enviar a estos las respuestas de errores si los hay .. Pero, puedes fijar $redir a tu URL de tu página que contiene tu formulario de login.

Un saludo,