Provisionalmente lo resolvi añadiendo un die() al final de la rutina de seguridad, sin embargo no se si esto sea correcto
Código PHP:
if(!isset($_SESSION['token'])) {
global $self;
$ipv4 = sprintf("%u", ip2long(getenv('REMOTE_ADDR')));
// Guarda variables en la lista negra para analisis posterior
$bd=Db::getInstance();
$sql="INSERT INTO config_listanegra (ip,intento,usuario,clave)
VALUES ('$ipv4','0','$self','null')";
$bd->insertar_dato($sql);
session_destroy();
header("Location: entrar.php");
die();
}