Y, depende de cómo sea el script que estás usando, pero con una estructura de control podés hacer que el script de autenticación no se ejecute si entra a firmar. Por cierto, ¿con /accion?firmar te refieres a /?accion=firmar?
Si lo hacés con /accion?firmar podés chequear que el valor de $_SERVER[QUERY_STRING] sea /accion?firmar; si haces /?accion=firmar, podés chequear que $_GET[accion] sea igual a firmar.

EDIT: Juaz, siempre me ganan por un segundo

Suerte
Fede