Erro em página protegida com SESSION

Tenho uma série de páginas (que deveriam ser) protegidas com sessões... Ela funcionam perfeitamente no localhost, mas quando eu subo os arquivos para o servidor, qualquer pessoa consegue acessá-las normalmente, sem estar logado.

Eu uso o seguinte código:

function verifica_session() { session_start(); if(!$_SESSION["email"] and !$_SESSION["senha"]) { header("location: index.php"); } }

Se as variáveis não estiverem registradas, redireciona para a página index.php.

Porque só funciona no localhost? Onde eu estou errando?