Ограничить прямой доступ к странице

установите переменную сеанса и проверяйте ее каждый раз, когда кто-то обращается к admin.php

<?php
  if (isset($_POST['password']) && isset($_POST['userName'])) {
      if ($_POST['password'] == $pass && $_POST['userName'] == $username) {
          if (!session_id())
              session_start();
          $_SESSION['logon'] = true;

          header('Location: admin.php');
          die();
      }
?>

а также

//admin.php 

if (!session_id()) session_start();
if (!$_SESSION['logon']){ 
    header("Location:index.php");
    die();
}

Вы должны изучить сеансы PHP. Вы можете установить переменную сеанса «isLogged» в этом файле перенаправления, а затем проверить в admin.php, зарегистрирована ли эта переменная сеанса, если нет перенаправления на страницу входа!

session_start();
if (isset($_POST['password']) && isset($_POST['userName'])) {
        if($_POST['password']==$pass && $_POST['userName']==$username)
        {
            header( 'Location: admin.php' ) ;
            $_SESSION['isLogged'] = true;
        }

admin.php

session_start();
if(!$_SESSION['isLogged']) {
  header("location:login.php"); 
  die(); 
}

Примечание: session_start(); должен быть вызван до того, как можно будет использовать глобальную переменную $_SESSION.

Установите значение сеанса, которое означает, что пользователь успешно вошел в систему, проверьте его на каждой странице, которую вы хотите защитить, перенаправьте на вход, если это значение не установлено.