Как запретить доступ к странице напрямую по адресу?

Через админку самой CMS можно лишь скрывать определённые пункты меню того или иного плагина. Но с точки зрения безопасности данный вариант не всегда подходит, потому что плагин будет по прежнему доступен при обращении через адресную строку. 

Решается это просто, заходим на соответствующую страницу контроллера и прописываем следующее свойство: 

public $requiredPermissions = ['manage_books'];

Тем самым, мы разрешаем доступ на страницу только тем пользователям, в ролях которых разрешено действие manage_books.