chiudere il browser e farne un refresh di pagina sono cose diverse.

se cancelli la sessione è corretto alla pagina dopo ti venga richiesto il login

non mettere password in chiaro nelle sessioni

se in ogni caso fai un redirect a index.php non serve metterlo in un if, duplicato