Algunos navegadores no informan de la variable "HTTP_REFERER" (página referida) cuando te mueves por ventanas de tu aplicación (vas abriendo con javascript ventanas: window.open .. etc)

Puedes prescindir de esa porción del código original de Autentificator que valida de que página viene para implementar la funcionalidad de "devolver los mensajes de error a la página que los originó" (normalmente el formulario de login que se usó). Para nada afecta a la seguridad de tus scripts .. es sólo una "funcionalidad" que implementé en su tiempo (cuando desconocía sobre los problemas de HTTP_REFERER) para hacer de cierta forma más versatil a "Autentificator" y no depender de -una- sóla página o formulario de login.

Quita el if() implicado (del HTTP_REFERER) y fija el valor de $redir al URL donde tengas tu formulario de login o página donde indiques que hay un error al ingresar a las "malas".

Un saludo,