Problem udało się rozwiązać, ale moim zdaniem zaproponowane rozwiązanie w powyższym tutoriale nie jest zbyt bezpieczne gdyż można zmienić komuś hasło. Faktem jest, że trzeba to hasło znać ale to można np. trafić.
Nie martwiłbym się o to, że hasło można trafić (bo w sumie każde można odgadnąć, jeśli ma się dostatecznie dużo czasu), ale o zabezpieczenie dostępu do takiego kontrolera i o użycie lepszego haszowania niż przestarzałe md5. Jeśli zaczynasz zabawę z Yii to polecam wziąć się za Yii 2 i zostawić Yii 1 w spokoju.