la soluzione più semplice è quella di includere in cima ad ogni file da proteggere una cosa come

session_start();
if ($_SESSION['loggato'] != true) {
header("Location: login.php");
exit;
}

in login.php chiedi la password e se corretta imposti $_SESSION['loggato'] a true

auguri