en realidad no es un error lo que pasa es que no haces el session_destroy() respectivo para dejar cerrada la sessión. cuando cierras la ventana deberías poner algo en el onunload de la etiqueta body que te mande a cerrar la sesión, por ejemplo madar a cerrar mediante ajax la sessión o abrir una nueva ventana para que puedas poner el session_destroy()

Adicional a eso puedes configurar tú servidor para que lo cierre con más rapidez por ejemplo ahora lo cierras en 10mins lo podrías hacer para cerrar en 5.

Ese es un problema que hay en casi todos los lenguajes pero como te comento no es un error de seguridad de PHP.