El sistema que usas para la autentificacion no usas ni cookies ni las sesiones de php.
Normalmente con este sistema el usuario solo cierra sesión al cerrar el navegador, una forma de forzar el cierre de sesión es que vuelvas a enviar:
Código PHP:
<?php
header('WWW-Authenticate: Basic realm="Acceso restringido"');
header('HTTP/1.0 401 Unauthorized');
echo 'Autentifacion No Valida';
exit;
Aunque también provoca que al usuario le aparezca otra vez la ventana para introducir el usuario y la contraseña.