Viendo el código php tienes varias cosas que debes corregir:
1. Nunca guardes las contraseñas en la BD sin encriptar porque si alguien logra ingresar sin permiso a la BD podrá robar todas las contraseñas de los usuarios. Lee el manual acerca de la función crypt.
2. No hay razón para guardar la contraseña en una variable de sesión.
3. Si te das cuenta del if que valida si el usuario es administrador nunca va a llegar hasta allá a menos que coloque mal los datos de login, ese if debes colocarlo antes de esta línea: