Se me olvidó otro comentario ..
Si las páginas que llamas en tu "$body" requieren autentificación por si sólas como medida de seguridad (si llamases directamente a una de esas páginas) .. Tendrías que usar las variables que tienes a tu disposición de sessión $_SESSION para armar tu condicional tipo:
Código PHP:
if (!isset($_SESSION['usuario_login']){
die ("No se permite el acceso directo a esta página");
}
Sólo eso .. no hace falta iniciar sesiones (session_start() .. ) ni redireccionar.
Si se llama correctamente al script por tu "index.php" o como lo llames al script que llama a tus include(cabecera ..) y todo el resto incluido la llamada a aut_verifica.inc.php de Autentificator .. ese script ya contiene session_start().
Por lo demas .. si hacen eso (accede directamente al script) ya sería una acción "adrede" y no un error involuntario como puede ser al autentificarse y equivocarse con su passwor .. en ese caso es recomendable redireccionar al formulario de "login" .. pero en ese caso, con un "aviso" y terminar el script (ejecución) que es lo que hace die() .. sobra. Si apesar de eso quisieras redireccionar, podrías hacerlo igualmente con "header()" .. Para esta situación concreta, tu script no tendría nada de "HTML" por encima ya que no sería llamado bajo tu "index" ..
Un saludo,