Podría ser eso ...

Autentificator captura el "HTTP_REFERER" para poder ofrecer un "devolver mensajes de error a la página que lo llama". Esá sección del código no es "relevante" en cuanto a seguridad .. así que podrías prescindir de ella dando un valor fijo a $redir con el valor del URL donde tengas tu formulario de "login" al que apuntará si hay que devolver mensajes de error.

Un saludo,