Una muestra del codigo final seria como este.. poniendo en practica tu codigo y el de "dopon".
Código PHP:
<?php
if (($usuario=="user") && ($password=="pass"))
header("Location:paginaprivada.php");
else {
?>
<html>
<head>
<title>Pagina privada</title>
</head>
<body>
<p>USUARIO O CONTRASEÑA INCORRECTA</p>
</body>
</html>
<?php
}
?>